Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

主要PCメーカーが採用する「InsydeH2O UEFI」に脆弱性 - 侵害されると影響大

OEMも含め、広く採用されているInsyde Softwareの「InsydeH2O UEFI」に複数の脆弱性が明らかとなった。OSより高い権限で動作しており、侵害されると影響が大きく、セキュリティ機関が注意を呼びかけている。

「UEFI」は、OSとファームウェアをつなぐインタフェースを提供し、ハードウェアの制御などにも用いられているソフトウェア。今回、パソコン、サーバ、モバイル端末など広く採用されているInsyde Softwareの「InsydeH2O Hardware-2-Operating System UEFI」に、あわせて23件の脆弱性が明らかとなった。

具体的には、「InsydeH2O UEFI」において、OSのカーネルより高い権限で動作する「System Management Mode(SMM)」に、メモリ破壊の脆弱性12件や権限昇格の脆弱性10件が判明。「Driver eXecution Environment(DXE)」にもメモリ破壊の脆弱性1件が明らかとなった。共通脆弱性評価システム「CVSSv3」によるベーススコアは、「8.2」から「7.5」となっている。

OSが初期化されるより前に「UEFI」の初期ブートフェーズで脆弱性を悪用されるおそれがあり、セキュアブートがバイパスされ、削除が難しく永続的に動作する不正なプログラムを埋め込まれたり、セキュリティ製品による検知の回避、情報流出などが生じるおそれもある。

脆弱性を発見、報告したBinarlyによれば、富士通、Dell、HP、HPE、Lenovo、BullAtos、Microsoft、Intel、Siemensなどの製品が影響を受けることを確認したという。

脆弱性の開示にあたり調整を行ったCERT/CCは、今回判明した脆弱性について、サプライチェーンが複雑であり、多くのベンダーに影響を及ぼすおそれがあると指摘。ベンダーより提供される最新のファームウェアへ更新するよう利用者へ注意を呼びかけている。

またBinarlyは脆弱性の開示プロセスにおいて、最初に脆弱性を報告した富士通のPSIRTは非常に対応が早く、Insyde PSIRTについても同様で影響範囲の特定が迅速に進み、脆弱性開示にあたり大幅な時間短縮につながったと称賛した。あわせて同社では、脆弱なソフトウェアを検出する「FwHuntルール」を提供しており、活用が呼びかけられている。

今回明らかとなった脆弱性は以下のとおり。

CVE-2020-5953
CVE-2020-27339
CVE-2021-33625
CVE-2021-33626
CVE-2021-33627
CVE-2021-41837
CVE-2021-41838
CVE-2021-41839
CVE-2021-41840
CVE-2021-41841
CVE-2021-42059
CVE-2021-42060
CVE-2021-42113
CVE-2021-42554
CVE-2021-43323
CVE-2021-43522
CVE-2021-43615
CVE-2021-45969
CVE-2021-45970
CVE-2021-45971
CVE-2022-24030
CVE-2022-24031
CVE-2022-24069

(Security NEXT - 2022/02/07 ) このエントリーをはてなブックマークに追加

PR

関連記事

中学校で生徒のテスト結果一覧を誤配布 - 柏市
結婚支援事業で会員個人情報を別人に誤送信 - 香川県
矢野経済研究所に不正アクセス - SQLi攻撃でアカウント情報が流出
障害者の就労支援会社がランサム被害 - 「Phobos」亜種が関与か
「サイバー防衛シンポ熱海2022」が8月に開催 - 露烏戦争から見るサイバー戦
HPE Crayスーパーコンピューターに深刻な脆弱性 - アップデートで修正
MS、「Microsoft Edge 103.0.1264.37」で独自修正した脆弱性を追加 - 評価の逆転現象も
小学校で児童の画像含むカメラなどを紛失 - 横須賀市
日経BPの医療関係者向けサイトに不正アクセス - ギフトコードの不正読み取りも
尼崎市USBメモリ紛失、関係者は再々委託先 - BIPROGY「あくまで責任は弊社」