Cuidado con los mini PCs NUC de Intel: descubren dos graves vulnerabilidades en su firmware

Dos nuevas vulnerabilidades han sido parcheadas por Intel. Una de ellas afecta a los mini PC NUC de este mismo fabricante y se ha determinado que es bastante severa, por los que los usuarios de los modelos afectados harían bien en parchearla lo antes posible. Pero esta vulnerabilidad no solo afecta a ciertos modelos de NUC, sino también a una Compute Card y a un Compute Stick de la marca. También se ha lanzado un nuevo parche para una vulnerabilidad que afecta a la consola web del controlador RAID de la marca.
Intel SA-00272
La primera vulnerabilidad (y la más grave de las tres) tiene el número de código CVE-2019-11140 y su gradación de seguridad la sitúa en un 7.5 sobre 10. Es, por tanto, una vulnerabilidad grave.
Esta nueva vulnerabilidad afecta a los siguientes NUC:
- Intel NUC Kit NUC7i7DNx
- Intel NUC Kit NUC7i5DNx
- Intel NUC Kit NUC7i3DNx
Otros dispositivos afectados por ella son los siguientes:
- Intel Compute Stick STK2MV64CC
- Intel Compute Card CD1IV128MK
La vulnerabilidad puede ser explotada para ganar acceso a privilegios reservados, crear una situación de tipo Denial of Service (DoS) o conseguir acceso a información que no se debiera de poder consultar en condiciones normales.
Intel SA-00281
Por otro lado, una segunda vulnerabilidad denominada SA-00281 se ha considerado que es todavía más grave que la anterior, dado que tiene una categoría de 8,2 sobre 10. Esta vulnerabilidad afecta a la utilidad Processor Identification Utility. La vulnerabilidad permite acceder a la herramienta de identificación del procesador del interior de la BIOS de los NUC. Al hacerlo, un atacante puede ganar acceso a información relativa al sistema de gráficos, al chipset y a las tecnologías que soporta el procesador.
La vulnerabilidad se debe a un deficiente control del acceso en un driver del hardware de los NUC, y afecta a la gran mayoría de procesadores del fabricante desde la 2ª Generación hasta la última, la 10ª.
En el caso de estas dos vulnerabilidades es necesario que el atacante realice el acceso no autorizado de manera presencial con el dispositivo. Ello reduce, en cierta medida, la peligrosidad de las vulnerabilidades de estos mini PC.
Intel SA-00246
Por desgracia, esta última vulnerabilidad no requiere que el usuario esté al lado de la máquina comprometida para realizar el ataque. Esta nueva vulnerabilidad afecta a la gestión de la consola Web de los RAID de Intel. Aunque su peligrosidad es inferior a las otras dos de las que ya hemos hablado (un 6,8 sobre 10), el ataque puede ser realizado a través de una red, por un atacante que no esté identificado.
Todas las versiones de RAID Web Console 2 están afectadas por esta nueva vulnerabilidad Intel SA-00281. Por lo tanto, Intel ha sugerido que los usuarios que empleen esta consola para controlar el estado de sus unidades en configuración RAID, la sustituyan por RAID Web Console 3 en su versión 7.009.011.000 como mínimo.
La cantidad de agujeros de seguridad que se llevan detectando en el software y en el hardware que fabrica Intel sigue yendo en aumento, semana tras semana. No hay semana que no se detecte un nuevo problema con su hardware o con su software. No es, por tanto, de extrañar que muchas marcas importantes como Google estén moviendo sus servidores a otros que emplean procesadores de AMD.