☰

Lenovo portatīvajiem datoriem konstatētas vairākas BIOS līmeņa ievainojamības

Lenovo ražotājs aprīlī ir novērsis 3 bīstamas programmatūras ievainojamības (CVE-2021-3970, CVE-2021-3971 un CVE-2021-3972), kas ietekmē Lenovo portatīvos datorus to UEFI (Unified Extensible Firmware Interface) līmenī. Minētās ievainojamības atklājuši ESET drošības pētnieki, kas par tām ražotāju informējuši pērnā gada oktobrī. 

Saskaņā ar ESET publicēto tehnisko analīzi divas ievainojamības (CVE-2021-3971 un CVE-2021-3972) ietekmē programmaparatūras draiverus, kas kļūdaini izmantoti gala produkcijas BIOS attēlos (BIOS image), kaut sākotnēji bija paredzēts tos izmantot tikai Lenovo portatīvo datoru ražošanas procesā.

Saraksts ar ietekmētiem Lenovo portatīvajiem datoriem, kuriem šobrīd ir pieejami programmatūras atjauninājumi, ko CERT.LV aicina pēc iespējas ātrāk uzstādīt: https://support.lenovo.com/us/en/product_security/ps500485-lenovo-notebook-bios-vulnerabilities
 

Par ievainojamībām
 

CVE-2021-3970

Potenciālā LenovoVariable SMI Handler ievainojamība, ko izraisa nepietiekams validācijas process dažos Lenovo klēpjdatoru modeļos, sniedz iespēju uzbrucējam ar lokālu piekļuvi un paaugstinātām privilēģijām izpildīt patvaļīgu kodu.
 

CVE-2021-3971

Ievainojamība, par ko ir atbildīgs programmaparatūras draiveris, kas izmantots senākos Lenovo Notebook ierīču ražošanas procesos un kļūdaini iekļauts BIOS attēlā (BIOS image), sniedz iespēju uzbrucējam ar paaugstinātām privilēģijām, izmainot NVRAM mainīgo, modificēt programmaparatūras aizsardzības iestatījumus.


CVE-2021-3972

Ievainojamība, ko izraisa programmaparatūras draiveris, kas tika izmantots Lenovo Notebook patērētāju ierīču ražošanas procesā un vēlāk kļūdas pēc netika deaktivizēts, sniedz uzbrucējam ar paaugstinātām privilēģijām iespēju, ietekmējot NVRAM mainīgo, modificēt drošas palaišanas iestatījumus (secure boot settings).

 

Papildu informācija:

https://support.lenovo.com/us/en/product_security/ps500485-lenovo-notebook-bios-vulnerabilities

https://www.darkreading.com/threat-intelligence/millions-of-lenovo-laptops-contain-firmware-level-vulnerabilities

https://www.ncert.gov.ph/2022/04/20/lenovo-notebook-bios-vulnerabilities-cve-2021-3970-cve-2021-3971-and-cve-2021-3972/