Qualcomm および Lenovo ARM ベースのデバイスにおける複数のファームウェアの脆弱性を Binarly が開示

Binarly の研究チームは、UEFI ファームウェアを搭載した Qualcomm 参照コードと ARM ベースの Lenovo デバイスの複数の脆弱性の協調的な開示を主導してきました。 Microsoft Surface デバイス、Samsung、HP など、複数のベンダーが影響を受けます。

カリフォルニア州パサデナ–(BUSINESS WIRE)–#FwHunt— 業界初の AI を活用したファームウェア保護プラットフォームのプロバイダーである Binarly Inc. は、Qualcomm Snapdragon チップを含む ARM デバイス上の UEFI ファームウェアの複数の脆弱性の協調的な開示と緩和を主導してきました。

重大度が高いと評価された Qualcomm の脆弱性は、UEFI ファームウェア参照コードで特定され、Qualcomm Snapdragon チップ上の ARM ベースのラップトップおよびデバイスのエコシステム全体に影響を与えます。 これは、ARM デバイス エコシステムでこの種の主要な脆弱性が公開された最初のものであり、ARM デバイスと x86 デバイスの両方に対するクロスプラットフォーム攻撃の可能性を浮き彫りにしています。

Binarly の研究チームは、これらの脆弱性が、最近リリースされた開発デバイス Microsoft Windows Dev Kit 2023 (コード名「Project Volterra」) を含む、Lenovo ThinkPad および Microsoft Surface デバイスで悪用可能であることを確認しました。

高リスクおよび中リスクの重大度評価を持つ開示された脆弱性の概要:

BRLY ID

親切

ベンダー

CVE-ID

CVSSスコア

CWE

BRLY-2022-029

BRLY-2022-030

BRLY-2022-033

DXE ドライバーでのダブル GetVariable によるスタック オーバーフロー

クアルコム

クアルコム

クアルコム

CVE-2022-40516

CVE-2022-40517

CVE-2022-40520

8.2 高

8.2 高

8.2 高

CWE-121: スタックベースのバッファ オーバーフロー

BRLY-2022-031

BRLY-2022-032

BRLY-2022-034

BRLY-2022-035

BRLY-2022-036

BRLY-2022-037

DXE ドライバーのスタック メモリ リークの脆弱性

クアルコム

レノボ

レノボ

レノボ

クアルコム

レノボ

CVE-2022-40518

CVE-2022-4432

CVE-2022-4433

CVE-2022-4434

CVE-2022-40519

CVE-2022-4435

4.9 ミディアム

6.0 ミディアム

6.0 ミディアム

6.0 ミディアム

6.0 ミディアム

6.0 ミディアム

CWE-125: 範囲外読み取り

9 つの脆弱性のうち 3 つ (CVE-2022-40516、CVE-2022-40517、および CVE-2022-40520) はリスクが高いと評価されており、セキュア ブート バイパスを可能にし、攻撃者がデバイス上で持続性を得ることができるようにします。ファイルシステムへの書き込みに十分な権限。 これにより、攻撃者は追加のセキュリティ境界を越えて、TrustZone への攻撃を簡素化できます。 3 つすべてが Qualcomm の参照コードに影響を与え、エコシステム全体に影響を与えます。

4 つの問題は Lenovo に固有のものであり、攻撃者はこれらすべての脆弱性を通じて特権ブート コードへの読み取りアクセスを取得できます。 任意のコードが実行される以前の脆弱性グループと比較すると、これらの脆弱性は特権的な情報漏えいのみにつながります。

「この開示により、企業ベンダーに影響を与える UEFI ファームウェアの脆弱性を持つ ARM デバイスのパンドラの箱を開けました。 私たちの知る限り、これは ARM の UEFI ファームウェアに関連する最初の主要な脆弱性の開示です」と、Binarly の最高経営責任者である Alex Matrosov は述べています。

「参照コードの脆弱性は、単一のベンダーだけでなく、エコシステム全体に影響を与える傾向があるため、通常、最も影響力のある脆弱性の 1 つです。 UEFI ファームウェアのサプライ チェーンは複雑であるため、これらの脆弱性はしばしば追加の影響をもたらします」とマトロソフ氏は述べ、UEFI の統一された仕様はファームウェア開発プロセスに一貫性をもたらすだけでなく、攻撃面にも影響を与えると述べています。

声明の中で、クアルコムは、調査と調整された開示を支援してくれた Binarly に感謝の意を表しました。

「堅牢なセキュリティとプライバシーをサポートするテクノロジーを提供することは、Qualcomm Technologies の優先事項です。 Binarly のセキュリティ研究者である Alex Matrosov 氏は、業界標準の協調的な開示手法を使用していることを称賛し、Lenovo と協力して、報告された起動の問題に対処しました。 パッチは 2022 年 11 月に利用可能になりました。影響を受けるエンド ユーザーには、デバイス メーカーからセキュリティ アップデートが提供されたら適用することをお勧めします。」 – クアルコムの広報担当者

Binarly は、Qualcomm の PSIRT チームがこれらの脆弱性レポートに対応する際のタイムリーなプロフェッショナリズムを高く評価しています。 2022 年 10 月に Binarly が参照コードの脆弱性を報告した後、修正プログラムをリリースしてサプライ チェーンを保護するのに 2 か月しかかからなかったのは印象的でした。

UEFI ARM ベースのエコシステム全体にこのような広範な影響を与えるため、これまでに他のベンダーと協力して経験したことのないタイムラインです。

ベンダーと研究者の緊密な協力により、開示のタイムラインが大幅に短縮され、業界が繰り返し発生するファームウェアのセキュリティ障害から回復するのに役立ちます。

これらの調査結果に関する技術的な詳細は、Binarly ブログで入手できるようになりました。

クアルコムの勧告: https://docs.qualcomm.com/product/publicresources/securitybulletin/january-2023-bulletin.html

Lenovo アドバイザリ: https://support.lenovo.com/us/en/product_security/LEN-103709

バイナリについて

カリフォルニア州パサデナで 2021 年に設立された Binarly は、ハードウェアとファームウェアのセキュリティの弱点と脅威を特定する数十年にわたる研究経験をもたらします。 Binarly のエージェントレスでエンタープライズ クラスの AI を活用したファームウェア セキュリティ プラットフォームは、オペレーティング システムの下にある高度な脅威から保護するのに役立ちます。 同社の技術は、脆弱性、悪意のあるファームウェアの変更を特定し、ソース コードにアクセスせずにファームウェア SBOM の可視性を提供することで、ファームウェア サプライ チェーンのセキュリティ問題を解決します。 Binarly のクラウドに依存しないソリューションは、エンタープライズ セキュリティ チームに実用的な洞察を提供し、セキュリティ インシデントに対応するためのコストと時間を削減します。

連絡先

media@binarly.io
818.351.9637

Copyright © acrofan/Business Wire 無断複写・転載を禁じます

Leave a Comment

Your email address will not be published. Required fields are marked *