Varios meses después de encontrarse fallos de seguridad en el firmware de los dispositivos HP, portatiles de gama alta, estos siguen a día de hoy afectados por dichas vulnerabilidades.
Esta información fue revelada en primicia por Binarly, en concreto en el evento «Black Hat USA» celebrado en agosto y donde publicaron dichas vulnerabilidades, las cuales no podían ser detectadas por los sistemas de supervisión encargados de la integridad del firmware de los equipos afectados.
Este tipo de fallos suponen un gran riesgo ya que un atacante puede fácilmente aprovecharse de ellos de manera temporal e incluso lograr acceso permanente a dicho dispositivo, evadiendo las protecciones de los sistemas operativos.
Estos fallos catalogados de alta gravedad afectan a la gama de dispositivos HP Elitebook.
Los CVE publicados son lo siguientes:
- CVE-2022-23930 (CVSS score: 8.2) – Stack-based buffer overflow
- CVE-2022-31640 (CVSS score: 7.5) – Improper input validation
- CVE-2022-31641 (CVSS score: 7.5) – Improper input validation
- CVE-2022-31644 (CVSS score: 7.5) – Out-of-bounds write
- CVE-2022-31645 (CVSS score: 8.2) – Out-of-bounds write
- CVE-2022-31646 (CVSS score: 8.2) – Out-of-bounds write
No obstante HP publicó parches para abordar los fallos en marzo y agosto, aunque aún no han sido lanzados los parches para todos los modelos afectados, haciendo que una parte de los clientes de la marca queden expuestos ante el riesgo de ciberataques.
«Como resultado de la complejidad que supone la cadena de suministro de firmware, hay vulnerabilidades que son difíciles de parchear, ya que implican posibilidades más allá de lo que los proveedores de dispositivos disponemos»
Declaración de HP
Todo esto llega acompañado con un parche lanzado la semana pasada con correcciones para un fallo de escalada de privilegios (CVE-2022-38395, puntuación CVSS: 8,2) en el software oficial de HP (Support Assistant).