Firmware des ordinateurs HP : des failles découvertes en 2021 ne sont toujours pas corrigées !

De nombreux appareils de chez HP, notamment dans les gammes professionnelles, sont impactés par un ensemble de 6 failles de sécurité avec une sévérité élevée qui touchent directement le firmware. Ces vulnérabilités ne sont pas totalement corrigées, et pourtant, certaines ont été divulguées publiquement depuis juillet 2021.

Que fait HP ? Les chercheurs en sécurité ont remonté 3 vulnérabilités à HP en juillet 2021, puis 3 autres vulnérabilités en avril 2022, et il s'avère que ces vulnérabilités ne sont toujours pas corrigées. Pourtant a eu plus de 4 mois ou plus d'une année complète, selon les vulnérabilités. Binarly, à l'origine de ces découvertes, a rendu publiques certaines de ces failles à l'occasion de l'événement Black Hat 2022, et même avec ça, HP n'a toujours pas publié de mises à jour de sécurité pour tous les modèles concernés (mais pour certains modèles, oui).

Voici la liste de ces 6 vulnérabilités qui permettent d'exécuter du code arbitraire. Il s'agit de failles de type "corruption de la mémoire" situées dans le composant System Management Module, intégré à l'UEFI :

• CVE-2022-23930 - Score CVSS v3 de 8.2 sur 10
• CVE-2022-31644 - Score CVSS v3 de 7.5 sur 10
• CVE-2022-31645 - Score CVSS v3 de 8.2 sur 10
• CVE-2022-31646 - Score CVSS v3 de 8.2 sur 10
• CVE-2022-31640 - Score CVSS v3 de 7.5 sur 10
• CVE-2022-31641 - Score CVSS v3 de 7.5 sur 10

Les failles au sein des firmwares sont particulièrement dangereuses, car un logiciel malveillant qui exploite une vulnérabilité de ce type peut persister même lorsqu'il y a une réinstallation du système d'exploitation.

Ces vulnérabilités sont-elles corrigées ?

HP a publié trois avis de sécurité au sujet des différentes failles de sécurité, et ils permettent d'obtenir des informations sur les modèles affectés. Voici la liste :

• HP - Bulletin de sécurité n°1
• HP - Bulletin de sécurité n°2
• HP - Bulletin de sécurité n°3

Voici ce qu'il faut retenir :

• CVE-2022-23930 a été corrigée sur tous les systèmes concernés en mars 2022, à l'exception des PC clients légers
• CVE-2022-31644, CVE-2022-31645, et CVE-2022-31646 ont été corrigées par des mises à jour de sécurité le 9 août 2022

Cependant, de nombreux modèles n'ont pas encore reçu de correctifs ! C'est le cas des ordinateurs portables destinés au marché professionnel, comme les gammes Elite, Zbook, ProBook, ainsi que les ordinateurs de bureau des gammes ProDesk, EliteDesk, ProOne, mais aussi les gammes Z1, Z2, Z4, et Zcentral.

• CVE-2022-31640 et CVE-2022-31641 ont été corrigées par des correctifs mis en ligne tout au long du mois d'août et jusqu'au 7 septembre 2022

Malgré tout, des modèles HP restent sans correctif et sont donc toujours exposés. Reste à savoir quand HP publiera les correctifs pour les nombreux modèles sans solution à ce jour... La semaine dernière, c'est une vulnérabilité important dans le logiciel HP Support Assistant qui avait eu le droit à son article.

Source

Florian BURNEL Co-founder of IT-Connect

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

See Full Bio