主要PCメーカーが採用する「InsydeH2O UEFI」に脆弱性 - 侵害されると影響大

OEMも含め、広く採用されているInsyde Softwareの「InsydeH2O UEFI」に複数の脆弱性が明らかとなった。OSより高い権限で動作しており、侵害されると影響が大きく、セキュリティ機関が注意を呼びかけている。

「UEFI」は、OSとファームウェアをつなぐインタフェースを提供し、ハードウェアの制御などにも用いられているソフトウェア。今回、パソコン、サーバ、モバイル端末など広く採用されているInsyde Softwareの「InsydeH2O Hardware-2-Operating System UEFI」に、あわせて23件の脆弱性が明らかとなった。

具体的には、「InsydeH2O UEFI」において、OSのカーネルより高い権限で動作する「System Management Mode（SMM）」に、メモリ破壊の脆弱性12件や権限昇格の脆弱性10件が判明。「Driver eXecution Environment（DXE）」にもメモリ破壊の脆弱性1件が明らかとなった。共通脆弱性評価システム「CVSSv3」によるベーススコアは、「8.2」から「7.5」となっている。

OSが初期化されるより前に「UEFI」の初期ブートフェーズで脆弱性を悪用されるおそれがあり、セキュアブートがバイパスされ、削除が難しく永続的に動作する不正なプログラムを埋め込まれたり、セキュリティ製品による検知の回避、情報流出などが生じるおそれもある。

脆弱性を発見、報告したBinarlyによれば、富士通、Dell、HP、HPE、Lenovo、BullAtos、Microsoft、Intel、Siemensなどの製品が影響を受けることを確認したという。

脆弱性の開示にあたり調整を行ったCERT/CCは、今回判明した脆弱性について、サプライチェーンが複雑であり、多くのベンダーに影響を及ぼすおそれがあると指摘。ベンダーより提供される最新のファームウェアへ更新するよう利用者へ注意を呼びかけている。

またBinarlyは脆弱性の開示プロセスにおいて、最初に脆弱性を報告した富士通のPSIRTは非常に対応が早く、Insyde PSIRTについても同様で影響範囲の特定が迅速に進み、脆弱性開示にあたり大幅な時間短縮につながったと称賛した。あわせて同社では、脆弱なソフトウェアを検出する「FwHuntルール」を提供しており、活用が呼びかけられている。

今回明らかとなった脆弱性は以下のとおり。

CVE-2020-5953
CVE-2020-27339
CVE-2021-33625
CVE-2021-33626
CVE-2021-33627
CVE-2021-41837
CVE-2021-41838
CVE-2021-41839
CVE-2021-41840
CVE-2021-41841
CVE-2021-42059
CVE-2021-42060
CVE-2021-42113
CVE-2021-42554
CVE-2021-43323
CVE-2021-43522
CVE-2021-43615
CVE-2021-45969
CVE-2021-45970
CVE-2021-45971
CVE-2022-24030
CVE-2022-24031
CVE-2022-24069

（Security NEXT - 2022/02/07 ）ツイート

主要PCメーカーが採用する「InsydeH2O UEFI」に脆弱性 - 侵害されると影響大

関連リンク

PR

関連記事