Skip to main content

Gravi vulnerabilità nel BIOS di alcuni prodotti Intel, Lenovo e molti altri

(Image credit: Pixabay)

Il UEFI firmware di Insyde contiene ben 23 vulnerabilità, molte delle quali gravi o molto gravi. Alcune di queste riescono a persistere anche dopo l'installazione di un nuovo sistema operativo e consentono l'installazione di malware e il furto di dati sensibili da remoto.

Le falle sono state rilevate da Binarly, un'azienda specializzata nell'ambito della sicurezza informatica secondo la quale almeno due dozzine di produttori sarebbero coinvolti; tra questi troviamo grandi nomi come Fujitsu, Intel, AMD, Lenovo, Dell, ASUS, HP, Siemens, Microsoft e Acer.

Il software UEFI (Unified Extensible Firmware Interface) è un'interfaccia che fa da ponte tra il firmware del dispositivo e il sistema operativo. Questo si occupa dell'avvio del sistema, della diagnostica e delle funzioni di riparazione.

Vulnerabilità molto gravi

La maggior parte delle 23 falle scoperte risiede nel System Management Mode (SMM), i cui privilegi superano quelli dell'OS.

Questa è la lista con i codici identificativi delle falle: CVE-2020-27339, CVE-2020-5953, CVE-2021-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-41837, CVE-2021-41838, CVE-2021-41839, CVE-2021-41840, CVE-2021-41841, CVE-2021-42059, CVE-2021-42060, CVE-2021-42113, CVE-2021-42554, CVE-2021-43323, CVE-2021-43522, CVE-2021-43615, CVE-2021-45969, CVE-2021-45970, CVE-2021-45971, CVE-2022-24030, CVE-2022-24031, CVE-2022-24069.

Di queste, tre (CVE-2021-45969, CVE-2021-45970, and CVE-2021-45971) hanno un rating di pericolosità di 9.8 su 10.

“La causa principale del problema è stata identificata nel codice di riferimento associato al firmware framework InsydeH2O,” ha spiegato Binarly.

“Tutti i produttori menzionati in precedenza e altri (più di 25 in totale) utilizzavano un firmware SDK Insyde-based per sviluppare i loro firmware (UEFI).” 

Anche se Insyde ha rilasciato delle patch per risolvere il problema, sono i produttori stessi a doverle accettare e in seguito rilasciare delle patch per i prodotti corrispettivi. Potrebbe volerci un po' per portare a termine questi passaggi, e il fatto che molti dei dispositivi colpiti siano datati, quindi a fine vita, non aiuta di certo.

BleepingComputer riporta che solo Insyde, Fujitsu e Intel hanno confermato di aver rilevato le falle. Al contrario Rockwell, Supermicro e Toshiba segnalano di non aver avuto nessun problema. I rimanenti produttori stanno ancora indagando.

Fonte: BleepingComputer

Marco Silvestri
Marco Silvestri