Binarlyは9月8日(米国時間)、「Binarly Finds Six High Severity Firmware Vulnerabilities in HP Enterprise Devices」において、HPの企業向けPCに存在するファームウェアの深刻な脆弱性がまだ解決されていないと伝えた。この脆弱性は1カ月以上前に報告されており、パッチが適用された更新プログラムがいまだに提供されていないと報告されている。
Binarlyは2022年8月中旬に米国で開催されたセキュリティカンファレンス「Black Hat USA 2022」で、この問題を取り上げた。HPのファームウェアに、ユニファイド・エクステンシブル・ファームウェア・インタフェース(UEFI: Unified Extensible Firmware Interface)のシステム管理モード(SMM: System Management Mode)に関連する任意のコード実行の脆弱性があると発表しており、この脆弱性が悪用された場合、再起動後もデバイスに残存し、オペレーティングシステムレベルのセキュリティ保護が回避されるため深刻な影響を与える可能性があると報告していた。
同カンファレンスで発表された時点で、この欠陥はHPのノートPCであるEliteBookに影響を与えることが確認されていたが、さらに追加の複数のHP製PCにも影響を与えると伝えられている。
公開されている未解決の脆弱性は次のとおり。
- CVE-2022-23930(CVSSスコア: 8.2)- Stack-based buffer overflow
- CVE-2022-31640(CVSSスコア: 7.5)- Improper input validation
- CVE-2022-31641(CVSSスコア: 7.5)- Improper input validation
- CVE-2022-31644(CVSSスコア: 7.5)- Out-of-bounds write
- CVE-2022-31645(CVSSスコア: 8.2)- Out-of-bounds write
- CVE-2022-31646(CVSSスコア: 8.2)- Out-of-bounds write
Binarlyのセキュリティ専門チームは、ファームウェアはサプライチェーンのすべてのレイヤとエンドポイントであるユーザーのデバイスとの間の単一障害点(SPOF: single point of failure)になっていると指摘。ファームウェアサプライチェーンが複雑であるため、デバイスベンダーがコントロールできない問題を含んでおり、デバイスベンダー側だけで解決することが困難なギャップが存在すると伝えている。