Lenovo ha reportado un nuevo aviso de seguridad que contiene múltiples vulnerabilidades relacionadas con el BIOS, que permitirían a un atacante realizar ejecución remota de código (RCE), obtener escalamiento de privilegios, denegación de servicio (DoS), entre otros.
Se ha reportado un total de 5 (cinco) vulnerabilidades en el aviso de seguridad de Lenovo. Las principales se detallan a continuación:
- CVE-2022-40136 sin severidad y sin puntuación asignada aún. Esta se debe a una falla en SMI Handler, utilizada para configurar los ajustes de la plataforma a través de WMI en algunos modelos de Lenovo. Esto permite a un atacante con acceso local y con privilegios elevados leer la memoria SMM y realizar filtración de información.
- CVE-2022-40135 sin severidad y sin puntuación asignada aún. Esta se debe a una falla en el smart USB Protection SMI Handler en algunos modelos de Lenovo. Un atacante con acceso local y con privilegios elevados podría leer la memoria SMM y realizar filtración de información.
- CVE-2022-40134 sin severidad y sin puntuación asignada aún. Esta se debe a una falla en el controlador SMI SMI Set BIOS Password en algunos modelos de Lenovo. Esto permite a un atacante con acceso local y con privilegios elevados leer la memoria SMM y realizar filtración de información.
Algunos productos de Lenovo afectados son:
- Lenovo Desktop.
- Desktop AIO.
- Smart Edge.
- Smart Office.
- ThinkStation.
- ThinkSystem.
Puede acceder al listado completo de productos afectados aquí.
Para acceder a las actualizaciones recomendamos seguir los pasos citados en el siguiente enlace:
Referencias:
- https://securityonline.info/cve-2022-40137-lenovo-bios-security-flaw/
- https://support.lenovo.com/ch/en/product_security/LEN-94953
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40137
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40136
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40135
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40134