Skip to main content

Gravi vulnerabilità nel BIOS di alcuni prodotti Intel, Lenovo e molti altri

(Image credit: Pixabay)

Il UEFI firmware di Insyde contiene ben 23 vulnerabilità, molte delle quali gravi o molto gravi. Alcune di queste riescono a persistere anche dopo l'installazione di un nuovo sistema operativo e consentono l'installazione di malware e il furto di dati sensibili da remoto.

Le falle sono state rilevate da Binarly, un'azienda specializzata nell'ambito della sicurezza informatica secondo la quale almeno due dozzine di produttori sarebbero coinvolti; tra questi troviamo grandi nomi come Fujitsu, Intel, AMD, Lenovo, Dell, ASUS, HP, Siemens, Microsoft e Acer.

Il software UEFI (Unified Extensible Firmware Interface) è un'interfaccia che fa da ponte tra il firmware del dispositivo e il sistema operativo. Questo si occupa dell'avvio del sistema, della diagnostica e delle funzioni di riparazione.

Vulnerabilità molto gravi

La maggior parte delle 23 falle scoperte risiede nel System Management Mode (SMM), i cui privilegi superano quelli dell'OS.

Questa è la lista con i codici identificativi delle falle: CVE-2020-27339, CVE-2020-5953, CVE-2021-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-41837, CVE-2021-41838, CVE-2021-41839, CVE-2021-41840, CVE-2021-41841, CVE-2021-42059, CVE-2021-42060, CVE-2021-42113, CVE-2021-42554, CVE-2021-43323, CVE-2021-43522, CVE-2021-43615, CVE-2021-45969, CVE-2021-45970, CVE-2021-45971, CVE-2022-24030, CVE-2022-24031, CVE-2022-24069.

Di queste, tre (CVE-2021-45969, CVE-2021-45970, and CVE-2021-45971) hanno un rating di pericolosità di 9.8 su 10.

“La causa principale del problema è stata identificata nel codice di riferimento associato al firmware framework InsydeH2O,” ha spiegato Binarly.

“Tutti i produttori menzionati in precedenza e altri (più di 25 in totale) utilizzavano un firmware SDK Insyde-based per sviluppare i loro firmware (UEFI).” 

Anche se Insyde ha rilasciato delle patch per risolvere il problema, sono i produttori stessi a doverle accettare e in seguito rilasciare delle patch per i prodotti corrispettivi. Potrebbe volerci un po' per portare a termine questi passaggi, e il fatto che molti dei dispositivi colpiti siano datati, quindi a fine vita, non aiuta di certo.

BleepingComputer riporta che solo Insyde, Fujitsu e Intel hanno confermato di aver rilevato le falle. Al contrario Rockwell, Supermicro e Toshiba segnalano di non aver avuto nessun problema. I rimanenti produttori stanno ancora indagando.

Fonte: BleepingComputer (opens in new tab)

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.