เมนู

พบข้อบกพร่องในผลิตภัณฑ์ HP หลายรุ่นที่ยังไม่ได้รับการแก้ไข

HP6 Full

ในช่องโหว่กว่า 6 รายการเกี่ยวข้องกับ SMM (System Management Module) แนะผู้ใช้งานอัพเดท BIOS สำหรับรุ่นที่ได้รับผลกระทบ  

15 กันยายน 2565

พบช่องโหว่ของเฟิร์มแวร์ที่มีความรุนแรงสูงจำนวน 6 รายการที่ส่งผลกระทบต่อการทำงานของอุปกรณ์ HP ยังคงรอการอัพเดทแพตช์ใหม่ ซึ่งในบางส่วนได้มีการเปิดเผยต่อสาธารณะในช่วงเดือน 2564 ที่ผ่านมา

แต่ช่องโหว่ที่พบนั้นยังคงมีความเสี่ยงสูง ถึงแม้ผู้ใช้งานจะทำการติดตั้งระบบปฏิบัติการใหม่ รวมถึงการใช้เครื่องมือรักษาความปลอดภัยมาตราฐาน เจ้ามัลแวร์ก็ยังสามารถเข้าถึงการใช้งานได้ โดยใช้ประโยชน์จากข้อบกพร่องของเฟิร์มแวร์ที่เกิดขึ้น

Binarly ได้เปิดเผยรายงานข้อบกพร่องใน Black Hat 2022 ถึงรุ่นอุปกรณ์ที่ได้รับผลกระทบ ซึ่งส่งผลให้ผู้ใช้งานจำนวนมากถูกโจมตีจากช่องโหว่ที่เกิดขึ้น

นักวิจัยรายงานข้อบกพร่อง 6 รายการของ HP ที่เกิดขึ้นช่วง (เดือนกรกฎาคม 2564) 3 รายการ และอีก 3 รายการใน (เดือนเมษายน 2565) ที่ผู้ขายมีเวลา 4 เดือน และมากกว่าหนึ่งปีเต็มในการแก้ไขปัญหาที่เกิดขึ้นจากอุปกรณ์ทั้งหมด

ปัญหาที่ค้นพบคือ SMM (System Management Module) เป็นเรื่องของหน่วยความจำเสียหาย ซึ่งอาจนำไปสู่การใช้รหัสโดยพลการ

เมื่อกล่าวถึง SMM (System Management Module) ถือว่าเป็นส่วนหนึ่งของเฟิร์มแวร์ UEFI ที่ทำหน้าที่ควบคุมอุปกรณ์ฮาร์ดแวร์ระดับล่าง รวมถึงการจัดการพลังงาน ดังนั้นข้อบกพร่องที่ส่งผลกระทบต่อ SMM อาจทำให้ความปลอดภัยต่างๆ ลดน้อยลง เช่น Secure Boot ทำการสร้างช่องทางให้สำหรับผู้โจมตี และอนุญาตให้ผู้บุกรุก สามารถติดตั้งการทำงานแบบถาวรได้

ช่องโหว่ทั้ง 6 รายการได้แก่

  1. CVE-2022-23930 – Stack-based buffer overflow leading to arbitrary code execution. (CVSS: 8.2)
  2. CVE-2022-31644 – Out-of-bounds write on CommBuffer, allowing partial validation bypassing. (CVSS: 7.5)
  3. CVE-2022-31645 – Out-of-bounds write on CommBuffer based on not checking the size of the pointer sent to the SMI handler. (CVSS: 8.2)
  4. CVE-2022-31646 – Out-of-bounds write based on direct memory manipulation API functionality, leading to privilege elevation and arbitrary code execution. (CVSS: 8.2)
  5. CVE-2022-31640 – Improper input validation giving attackers control of the CommBuffer data and opening the path to unrestricted modifications. (CVSS: 7.5)
  6. CVE-2022-31641 – Callout vulnerability in the SMI handler leading to arbitrary code execution. (CVSS: 7.5)

 

ทริกเกอร์ความเสียหายของหน่วยความจำใน SMM (CVE-2022-31645)

 

HP ได้ออกมาให้คำแนะนำด้านความปลอดภัย 3 ข้อเพื่อให้ทราบถึงช่องโหว่ที่เกิดขึ้น พร้อมการอัพเดท BIOS เพื่อแก้ไขปัญหาสำหรับรุ่นที่ได้รับผลกระทบ

CVE-2022-23930 ได้รับการแก้ไขแล้ว ในทุกรุ่นที่ได้รับผลกระทบในช่วงเดือนมีนาคม 2565 ยกเว้นรุ่น PC ขนาดเล็ก หรือ Thin Client (ตรวจสอบได้ที่ คลิก)

สำหรับช่องโหว่ CVE-2022-31644, CVE-2022-31645, and CVE-2022-31646 ได้รับการอัพเดทความปลอดภัยแล้วเมื่อวันที่ 9 สิงหาคม 2565

แต่สำหรับโน้ตบุ๊กที่ใช้สำหรับเชิงธุรกิจ (Elite, Zbook, ProBook) และ PC แบบตั้งโต๊ะ  (ProDesk, EliteDesk, ProOne) รวมถึงอุปกรณ์ขายหน้าร้าน (Workstation Z1, Z2, Z4, Zcentral) ยังไม่ได้รับการตรวจสอบ (ตรวจสอบได้ที่ คลิก)

ช่องโหว่ CVE-2022-31640 และ CVE-2022-31641 ได้รับการแก้ไขตลอดเดือนสิงหาคมที่ผ่านม โดนมีกรอัพเดทครั้งล่าสุดในวันที่ 7 กันยายน 2565 แต่ในส่วนของ HP Workstation ยังไม่ได้มีการแก้ไข (ตรวจสอบได้ที่ คลิก)

จากความคิดเห็นของ Binarly ในเรื่องของการแก้ไขปัญหาที่เกิดขึ้นยังเป็นเรื่องที่ท้าทายมากสำหรับผู้ขายเอง เนื่องจากมีความซับซ้อนในเรื่องของการทำงานต่างๆ ของเฟิร์มแวร์ ทำให้ลูกค้า HP ต้องยอมรับความเสี่ยง และหาวิธีการป้องกันด้วยตนเอง

ท้ายที่สุดทาง Bleeping Computer ได้ติดต่อกับทาง HP เพื่อขอความคิดเห็นเกี่ยวกับเวลาที่จะออกมาชี้แจง การอัพเดทสำหรับอุปกรณ์รุ่นที่เหลือ ที่ได้รับผลกระทบ และจะแจ้งให้ผู้ใช้งานทราบเมื่อได้รับคำตอบจากทาง HP