Investigadores expertos en ciberseguridad han advertido recientemente que varias vulnerabilidades de alta gravedad en sistemas de HP que afectan a varios portátiles y ordenadores de sobremesa para empresas, junto asistemas de punto de venta y estaciones de trabajo; llevan meses sin ser parcheadadas. Esto podría significar que usuarios de HP, espcialmente en entornos laborales, que tinen más riesgos de sufrir ciberataques; corren riesgos de alta gravedad.
Estos riesgos podrían hacer que se rompan sus terminales, que se roben sus archivos o se comprometan sus cuentas digitales. Si fueran fallos leves de poca graves y complicados de ejecutar, la alarma sería más pequeña. Pero es que todos los fallos encontrados y aún sin parchear, permiten la ejecución de código arbitrario.
HP tiene muchas vulnerabilidades pendientes de corregir
A la gravedad de los fallos aún por parchear, se le añade que, como los fallos están en el firmware, pueden persistir incluso después de reinstalar el sistema operativo, según han advertido los expertos. Según Binarly, la empresa encontró un total de seis vulnerabilidades, tres en julio de 2021 y otras tres en abril de 2022, todas ellas de corrupción de memoria del Módulo de Gestión del Sistema. Los fallos por parchear son los siguientes:
- CVE-2022-23930 (8.2)
- CVE-2022-31644 (7.5)
- CVE-2022-31645 (8.2)
- CVE-2022-31646 (8.2)
- CVE-2022-31640 (7.5)
- CVE-2022-31641 (7.5).
Desde la revelación, HP ha publicado tres avisos de seguridad para tres de los fallos, y ha lanzado tres actualizaciones de la BIOS, corrigiendo los fallos en algunos de los modelos afectados, pero no todos. La emrpesa no ha publicado ningún parche para los dispositivos de las series Elite, Zbook o ProBook, así como para las series ProDesk, EliteDesk y ProOne. Las estaciones de trabajo de HP, incluidas las Z1, Z2, Z4 y Zcentral, también siguen siendo vulnerables a los fallos.
Binarly advirtió del riesgo potencial asociado a la falta de parches para estos fallos. HP rspondió con que hay dificultades que conlleva solucionar las vulnerabilidades de un solo proveedor. Afirman que, “Como resultado de la complejidad de la cadena de suministro de firmware, hay brechas que son difíciles de cerrar en el extremo de la fabricación, ya que implica cuestiones más allá del control de los proveedores de dispositivos“. Esto es que, si bien son conscientes de los problemas que hay en su propio firmware y entienden el problema, no esperemos una solución a corto plazo.
Fuente: TechRadar
