Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

主要PCメーカーが採用する「InsydeH2O UEFI」に脆弱性 - 侵害されると影響大

OEMも含め、広く採用されているInsyde Softwareの「InsydeH2O UEFI」に複数の脆弱性が明らかとなった。OSより高い権限で動作しており、侵害されると影響が大きく、セキュリティ機関が注意を呼びかけている。

「UEFI」は、OSとファームウェアをつなぐインタフェースを提供し、ハードウェアの制御などにも用いられているソフトウェア。今回、パソコン、サーバ、モバイル端末など広く採用されているInsyde Softwareの「InsydeH2O Hardware-2-Operating System UEFI」に、あわせて23件の脆弱性が明らかとなった。

具体的には、「InsydeH2O UEFI」において、OSのカーネルより高い権限で動作する「System Management Mode(SMM)」に、メモリ破壊の脆弱性12件や権限昇格の脆弱性10件が判明。「Driver eXecution Environment(DXE)」にもメモリ破壊の脆弱性1件が明らかとなった。共通脆弱性評価システム「CVSSv3」によるベーススコアは、「8.2」から「7.5」となっている。

OSが初期化されるより前に「UEFI」の初期ブートフェーズで脆弱性を悪用されるおそれがあり、セキュアブートがバイパスされ、削除が難しく永続的に動作する不正なプログラムを埋め込まれたり、セキュリティ製品による検知の回避、情報流出などが生じるおそれもある。

脆弱性を発見、報告したBinarlyによれば、富士通、Dell、HP、HPE、Lenovo、BullAtos、Microsoft、Intel、Siemensなどの製品が影響を受けることを確認したという。

脆弱性の開示にあたり調整を行ったCERT/CCは、今回判明した脆弱性について、サプライチェーンが複雑であり、多くのベンダーに影響を及ぼすおそれがあると指摘。ベンダーより提供される最新のファームウェアへ更新するよう利用者へ注意を呼びかけている。

またBinarlyは脆弱性の開示プロセスにおいて、最初に脆弱性を報告した富士通のPSIRTは非常に対応が早く、Insyde PSIRTについても同様で影響範囲の特定が迅速に進み、脆弱性開示にあたり大幅な時間短縮につながったと称賛した。あわせて同社では、脆弱なソフトウェアを検出する「FwHuntルール」を提供しており、活用が呼びかけられている。

今回明らかとなった脆弱性は以下のとおり。

CVE-2020-5953
CVE-2020-27339
CVE-2021-33625
CVE-2021-33626
CVE-2021-33627
CVE-2021-41837
CVE-2021-41838
CVE-2021-41839
CVE-2021-41840
CVE-2021-41841
CVE-2021-42059
CVE-2021-42060
CVE-2021-42113
CVE-2021-42554
CVE-2021-43323
CVE-2021-43522
CVE-2021-43615
CVE-2021-45969
CVE-2021-45970
CVE-2021-45971
CVE-2022-24030
CVE-2022-24031
CVE-2022-24069

(Security NEXT - 2022/02/07 ) このエントリーをはてなブックマークに追加

PR

関連記事

案内メール誤送信で事業所担当者のメアド流出 - 協会けんぽ
個情委、「LINE」情報漏洩でLINEヤフーに勧告 - 「ヤフオク!」に関する指導も
「Chromium」の深刻な脆弱性、すでに悪用済み - 「MS Edge」も緊急更新
NTTドコモ、スミッシング攻撃の踏み台端末に注意喚起 - 7月上旬から
子会社従業員が有効期限間近のデジタルギフトを不正入手 - デジタルプラス
MS、「Microsoft Edge 103.0.1264.49」を公開 - ゼロデイ脆弱性に対処
「GitLab」にセキュリティアップデート - 脆弱性2件を修正
Cisco、セキュリティアドバイザリ17件を公開
サイバー攻撃で狙われ、悪用される「正規アカウント」
産業制御システムのインシデント対応に必要な機能を解説した手引書