HP está retrasando los parches para seis vulnerabilidades conocidas en sus dispositivos empresariales que podrían conducir a la ejecución de código arbitrario por parte de piratas informáticos si se explotan con éxito.
Estos errores fueron descubiertos por el equipo de Binarly, algunos el año pasado y otros este año, y compartidos con HP para parchearlos. Aunque la compañía lanzó parches para algunos modelos, la mayoría de los demás siguen siendo vulnerables a los riesgos incluso después de un año.
Errores de RCE en dispositivos HP Enterprise
Investigadores de Binarly descubierto Seis vulnerabilidades en varios de los dispositivos HP Enterprise que podrían poner a los usuarios en riesgo de varios ataques cibernéticos. Las seis vulnerabilidades se encuentran en el firmware de estos dispositivos HP, lo que dificulta la aplicación de parches para el proveedor.
Las infecciones de firmware pueden ser particularmente peligrosas, ya que el malware que se infiltra en ellas puede persistir en el sistema de la víctima, incluso entre reinstalaciones del sistema operativo, lo que permite a los atacantes más tiempo y espacio para operaciones maliciosas. Los seis errores son los siguientes;
- CVE-2022-23930 – Desbordamiento de búfer basado en pila que conduce a la ejecución de código arbitrario. (Puntaje CVSS v3: 8.2 “Alto”)
- CVE-2022-31644 – Escritura fuera de los límites en CommBuffer, lo que permite omitir la validación parcial. (Puntuación CVSS v3: 7.5 “Alto”)
- CVE-2022-31645 – Escritura fuera de los límites en CommBuffer basada en no verificar el tamaño del puntero enviado al controlador SMI. (Puntaje CVSS v3: 8.2 “Alto”)
- CVE-2022-31646 – Escritura fuera de los límites basada en la funcionalidad API de manipulación directa de la memoria, lo que lleva a la elevación de privilegios y la ejecución de código arbitrario. (Puntaje CVSS v3: 8.2 “Alto”)
- CVE-2022-31640 – La validación de entrada incorrecta otorga a los atacantes el control de los datos de CommBuffer y abre el camino a modificaciones sin restricciones. (Puntuación CVSS v3: 7.5 “Alto”)
- CVE-2022-31641 – Vulnerabilidad de llamada en el controlador SMI que conduce a la ejecución de código arbitrario. (Puntuación CVSS v3: 7.5 “Alto”)
Los investigadores descubrieron todos los errores en el SMM (módulo de administración del sistema) de HP y advirtieron que explotarlos podría provocar problemas de corrupción de la memoria, lo que eventualmente permitiría a los piratas informáticos ejecutar código arbitrario de forma remota.
Aunque HP ha publicado tres avisos de seguridad que reconocen estos errores y parches relevantes para el BIOS, aún es difícil asegurar todos los dispositivos. Los modelos afectados incluyen muchas series de cuadernos de negocios como Elite, Zbook y ProBook, PC de escritorio comerciales como ProDesk, EliteDesk y ProOne, estaciones de trabajo HP como Z1, Z2, Z4, Zcentral e incluso los sistemas de punto de venta.
Dado que todos estos dispositivos no han recibido ningún parche, incluso después de que se informara a HP en julio de 2021, es bueno suponer que los usuarios de HP de los dispositivos anteriores están en riesgo y deben tener cuidado con posibles ataques.
