Los investigadores advierten de que varias vulnerabilidades de alta gravedad presentes en portátiles de empresa, ordenadores de sobremesa, sistemas de puntos de venta y estaciones de trabajo de HP llevan meses sin parchear.
Todas las vulnerabilidades permiten la ejecución de código arbitrario, lo que pone en peligro los puntos finales, los datos y las cuentas digitales de un gran número de usuarios de HP.
Incluso después de reinstalar el sistema operativo, las vulnerabilidades del firmware pueden seguir ahí, según advierten los expertos.
Arreglos
En el periodo comprendido entre julio de 2021 y abril de 2022, Binarly descubrió un total de seis vulnerabilidades de corrupción de memoria del Módulo de Gestión del Sistema (SMM).
Se trata de CVE-2022-23930 (8.2), CVE-2022-31644 (7.5), CVE-2022-31645 (8.2), CVE-2022-31646 (8.2), CVE-2022-31640 (7.5) y CVE-2022-31641 (8.2).
Desde que se hizo pública la información, HP ha emitido un total de tres avisos de seguridad y tres actualizaciones de la BIOS en un esfuerzo por solucionar algunos de los problemas.
El fabricante no ha distribuido ningún parche o actualización para los dispositivos Elite, Zbook, ProBook, ProDesk, EliteDesk o ProOne. Las estaciones de trabajo fabricadas por HP con los números de modelo Z1, Z2, Z4 y Zcentral son vulnerables.
Binarly advirtió sobre los peligros de no tener parches disponibles para estas vulnerabilidades, pero destacó lo difícil que es solucionar las vulnerabilidades que son específicas de un proveedor en particular.
Según lo que allí se escribió, “hay brechas de producción que son difíciles de cerrar debido a la intrincada naturaleza de la cadena de suministro de firmware.”
TechRadar Pro se ha puesto en contacto con HP para conocer el calendario de las actualizaciones de software para los dispositivos afectados; si recibimos una respuesta, actualizaremos este informe en consecuencia.