Спецпроекты

Безопасность Пользователю Техника

Компьютеры HP переполнены «дырами». Создатели годами ленятся их устранять

На компьютерах HP обнаружены крайне опасные уязвимости в предустановленном ПО. Их, по меньшей мере, шесть, и каждая из них имеет высокий уровень опасности. При должной сноровке хакер может использовать их для запуска произвольного кода. HP годами не может пропатчить их – некоторые устройства получили некоторые из необходимых обновлений, но большая их часть по-прежнему остаются уязвимыми к взлому.

Крайне опасные компьютеры HP

Компания HP решила подвернуть пользователей своих компьютеров опасности взлома и заражения вирусами и шифровальщиками. Как пишет портал Bleeping Computer, она годами не устраняет выявленные в них уязвимости, хотя о них давным-давно известно едва ли не всем хакерам на планете.

Речь в данном случае о шести уязвимостях высокого уровня опасности. Все они были выявлены еще с середины лета 2021 г. Более того, пока нет точных данных, что HP не латает лишь эти шесть брешей в своем «железе». Есть вероятность, что их может быть намного больше.

Все «дыры» были выявлены группой исследователей безопасности Binarly. Они связаны с повреждением памяти SMM (System Management Module), входящей в состав UEFI. Грамотная их эксплуатация открывает хакерам чуть ли не хайвей в компьютер пользователя – многие из них позволяют злоумышленникам запускать на ПК жертвы любой нужный им код.

Список уязвимостей

Одна из уязвимостей, которую HP никак не может закрыть, носит индекс CVE-2022-23930. Это переполнение буфера стека, приводящее к выполнению произвольного кода. Вторая – это CVE-2022-31644, запись за пределами буфера CommBuffer, позволяющая частично обходить проверку.

hp600.jpg
Возможно, патчи требуются не только ПК ноутбукам HP бизнес-класса, но и обычным пользовательским моделям

Третья уязвимость – CVE-2022-31645, запись за пределами буфера CommBuffer из-за отсутствия проверки размера указателя, отправляемого обработчику SMI; четвертая – CVE-2022-31646 (запись за пределами границ на основе функций API прямого манипулирования памятью, приводящая к повышению привилегий и выполнению произвольного кода.

Пятой в списке идет брешь CVE-2022-31640 (неправильная проверка ввода дает злоумышленникам контроль над данными CommBuffer и открывает путь к неограниченным модификациям). На шестой строчке – CVE-2022-31641. Это уязвимость Callout в обработчике SMI, приводящая к выполнению произвольного кода.

Все шесть уязвимостей имеют высокий уровень опасности. По классификации CVSS v3 они располагают оценкой от 7,5 баллов до 8,2 включительно из 10 возможных.

Крайне избирательный подход

Обвинить HP в том, что она отказывается выпускать апдейты безопасности для своих устройств, нельзя. Даже перечисленные уязвимости получили необходимые для их устранения заплатки. Однако это касается далеко не всех устройств, выпущенных американским вендором.

К моменту выхода материала в активе HP было лишь три бюллетеня (рекомендаций) по безопасности. Столько же вышло и патчей. Так, CVE-2022-23930 была исправлена в марте 2022 г. на всех затронутых системах, за исключением тонких клиентов. CVE-2022-31644, CVE-2022-31645 и CVE-2022-31646 были устранены 9 августа 2022 г.

Однако предпринятых HP усилий оказалось совершенно недостаточно. Многие бизнес-ноутбуки серий Elite, Zbook и ProBook, а также десктопы линеек ProDesk, EliteDesk и ProOne до сих пор несут в себе все шесть уязвимостей. То же касается рабочих станций HP Z1, Z2, Z4 и Zcentral.

Надеяться на HP нельзя

Аналитики Binarly полагают, что сама HP не виновата в том, что апдейты безопасности до сих пор не вышли. По их мнению, у компании очень сложная система поставок штатного ПО, что и затрудняет распространение обновлений.

При этом в Binarly не уточняют, зачем HP пишет выпускает заранее «дырявое» ПО, и что мешало ей реализовать более простую систему дистрибуции обновлений. Компания, к слову, покинула российский рынок, так что проживающие в России владельцы перечисленных устройств могут и вовсе никогда не получить требуемые патчи.

Эксперты Binarly считают, что владельцам компьютеров HP не следует ждать, когда у компании появится желание и время на подготовку заплаток. Они рекомендуют им самостоятельно усилить меры безопасности. Информация о том, как именно им полагается это сделать, в рекомендациях отсутствует.

Дурной пример заразителен

Существует еще одна американская компания, ушедшая из России и не закрывающая «дыры» в своих устройствах. Речь о Cisco.

Как сообщал CNews, Cisco не намерена устранять опасные уязвимости в старых моделях своих роутеров. Но, в отличие от HP, у нее на то совсем другие причины.

Компания, не скрывая, заявляет, что хочет заработать денег на пользователях, обеспокоенных своей информационной безопасностью. Отказываясь патчить старые роутеры, чей срок техподдержки давно истек, Cisco подталкивает их к покупке новых моделей, пока еще получающих обновления. Вариантов в данном случае немного – придется или купить новый маршрутизатор, или пользоваться старым на свой страх и риск. Есть и третий выход из ситуации – сменить вендора сетевого оборудования.

Эльяс Касми

Короткая ссылка