КиберосноваSGRC
BDU:2022-04424
Критический

BDU:2022-04424: Уязвимость драйвера ReadyBootDxe микропрограммного обеспечения ноутбуков Lenovo, позволяющая нарушителю выполнить произвольный код

CVSS v310.0
CVSS v210.0

Детали уязвимости BDU:2022-04424

Описание

Уязвимость драйвера ReadyBootDxe микропрограммного обеспечения ноутбуков Lenovo связана с переполнением буфера. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код

Что делать с BDU:2022-04424

Критическая уязвимость (CVSS 10.0) требует немедленного реагирования. По приказу ФСТЭК №117 срок устранения — 24 часа. Проверьте наличие патча у вендора и установите его на все затронутые системы. При невозможности патча — изолируйте уязвимый компонент и примените компенсирующие меры.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
10.0Критический
Пересчитать →
v2
10.0
Только просмотр
AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HAV:N/AC:L/Au:N/C:C/I:C/A:C

CWE — тип уязвимости

CVE — международный идентификатор

Тактики и техники

Манипулирование структурами данных

Уязвимое ПО (68)

ВендорНазваниеВерсияПлатформа
Lenovo Group Limited100e 2nd Gen Notebook (Lenovo) (Type 82GJ)до FRCN23WWНе указана
Lenovo Group Limited100w Gen 3 Laptop (Lenovo)до GACN38WWНе указана
Lenovo Group Limited13w Yoga (Type 82S1, 82S2) Laptop (Lenovo)до JACN31WWНе указана
Lenovo Group Limited14W Gen 2 Laptop (Lenovo)до H0CN21WWНе указана
Lenovo Group Limited300e 2nd Gen Notebook (Lenovo) (Type 82GK)до FRCN23WWНе указана
Lenovo Group Limited300w Gen 3 Laptop (Lenovo)до GACN38WWНе указана
Lenovo Group Limited500w Gen 3 Laptop (Lenovo)до G6CN40WWНе указана
Lenovo Group Limited730S-13IML Laptop (ideapad)до BRCN20WWНе указана
Lenovo Group LimitedFlex 3-11ADA05 Laptop (ideapad)до FPCN26WWНе указана
Lenovo Group LimitedFlex 5-14ALC05 Laptop (ideapad)до GJCN27WWНе указана
Lenovo Group LimitedFlex 5-14ARE05 Laptop (ideapad)до EECN39WWНе указана
Lenovo Group LimitedFlex 5-14IIL05 Laptop (ideapad)до ECCN40WWНе указана
Lenovo Group LimitedFlex 5-14ITL05 Laptop (ideapad)до FXCN38WWНе указана
Lenovo Group LimitedFlex 5-15ALC05 Laptop (ideapad)до GJCN27WWНе указана
Lenovo Group LimitedFlex 5-15IIL05 Laptop (ideapad)до ECCN40WWНе указана
Lenovo Group LimitedFlex 5-15ITL05 Laptop (ideapad)до FXCN38WWНе указана
Lenovo Group LimitedIdeaPad 1-11ADA05 Laptopдо FQCN26WWНе указана
Lenovo Group LimitedIdeaPad 1-11IGL05 Laptopдо DWCN24WWНе указана
Lenovo Group LimitedIdeaPad 1-14ADA05 Laptopдо FQCN26WWНе указана
Lenovo Group LimitedIdeaPad 1-14IGL05 Laptopдо DWCN24WWНе указана
Lenovo Group LimitedIdeaPad 3 15ADA05до E8CN36WWНе указана
Lenovo Group LimitedIdeaPad 1-14ADA05 Laptopдо E8CN36WWНе указана
Lenovo Group LimitedIdeaPad 3-14ADA6до HBCN24WWНе указана
Lenovo Group LimitedIdeaPad 3-15ADA6до HBCN24WWНе указана
Lenovo Group LimitedIdeaPad 3-15ALC6до GLCN48WWНе указана
Lenovo Group LimitedIdeaPad 3-17ADA6до HBCN24WWНе указана
Lenovo Group LimitedIdeaPad 3-17ALC6до GLCN48WWНе указана
Lenovo Group LimitedIdeaPad 5 15ABA7до KACN14WWНе указана
Lenovo Group LimitedIdeaPad Flex 5 14ALC7 Laptopдо JCCN29WWНе указана
Lenovo Group LimitedIdeaPad Flex 5 16ALC7до JCCN29WWНе указана
Lenovo Group LimitedLegion S7-15ACH6до HACN37WWНе указана
Lenovo Group LimitedLegion S7-15ARH5до G1CN27WWНе указана
Lenovo Group LimitedLegion S7-15IMH5до FDCN40WWНе указана
Lenovo Group LimitedIdeaPad S145-14APIдо BUCN33WWНе указана
Lenovo Group LimitedIdeapad S145-14ASTдо AYCN28WWНе указана
Lenovo Group LimitedIdeapad S145-15APIдо BUCN33WWНе указана
Lenovo Group LimitedIdeapad S145-15ASTдо BUCN33WWНе указана
Lenovo Group LimitedIdeapad S145-15ASTдо AYCN28WWНе указана
Lenovo Group LimitedIdeapad S540-13APIдо CXCN36WWНе указана
Lenovo Group LimitedYoga C940-14IILдо BQCN34WWНе указана
Lenovo Group LimitedSlim 1-11AST-05 Laptop (ideapad)до CWCN25WWНе указана
Lenovo Group LimitedSlim 1-14AST-05 Laptop (ideapad)до CWCN25WWНе указана
Lenovo Group LimitedThinkBook 13s G2 ARE Laptopдо CWCN25WWНе указана
Lenovo Group LimitedThinkBook 13s G2 ITL Laptopдо F9CN50WWНе указана
Lenovo Group LimitedThinkBook 13s G3 ACN Laptopдо GMCN29WWНе указана
Lenovo Group LimitedThinkBook 13s-IML Laptopдо CQCN37WWНе указана
Lenovo Group LimitedThinkBook 14-IIL Laptopдо DJCN28WWНе указана
Lenovo Group LimitedThinkBook 14-IML Laptopдо CJCN38WWНе указана
Lenovo Group LimitedThinkBook 14p G2 ACH Laptopдо GWCN41WWНе указана
Lenovo Group LimitedThinkBook 14s G2 ITL Laptopдо F9CN50WWНе указана

Показано 50 из 68

Рекомендации по устранению

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - использование средств доверенной загрузки. Использование рекомендаций производителя: https://support.lenovo.com/us/en/product_security/LEN-91369

SLA ФСТЭК №117

24 часа

по базовой оценке CVSS 10.0

Уточните SLA под вашу среду

Базовый балл 10.0 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Приоритетное устранение

Высокий риск эксплуатации. Запланируйте устранение в ближайшем окне обновлений.

EPSS — вероятность эксплуатации0.3%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2022-07-12

Опубликована

2022-07-15

Обновлена

2022-07-15

Эксплойт

Данные уточняются

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Связанные уязвимости

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0