Εκατομμύρια συσκευές Dell που εκτίθενται σε απομακρυσμένες επιθέσεις

Οι ερευνητές ασφάλειας στον κυβερνοχώρο δημοσίευσαν πρόσφατα μια έκθεση που περιγράφει τέσσερα ζητήματα ασφαλείας με τις συσκευές Dell. Η εκτίμηση παραθέτει 30 εκατομμύρια τελικά σημεία της Dell που θα μπορούσαν να υποστούν απομακρυσμένη εκτέλεση κώδικα και επιθέσεις BIOS.

Το ZDNet ανέφερε το ζήτημα, αναφέροντας αναλυτές που συνεργάστηκαν με την εταιρεία ασφάλειας επιχειρήσεων Eclypsium. Οι ερευνητές απαρίθμησαν συνολικά 129 φορητούς υπολογιστές, tablet και προ-κατασκευασμένους επιτραπέζιους υπολογιστές της Dell, καθώς και υλικό Dell εταιρικής ποιότητας που πάσχει από τα τέσσερα κρίσιμα σφάλματα. Τα σφάλματα έχουν να κάνουν με την εφαρμογή του Secure Boot στις συσκευές.

Το Secure Boot είναι ένα βιομηχανικό πρότυπο που έχει επεξεργαστεί ως κοινή προσπάθεια μεταξύ διαφόρων βιομηχανιών PC και σκοπός του είναι να διασφαλίσει ότι οι συσκευές που προστατεύονται με αυτήν μπορούν να εκκινήσουν μόνο όταν το λογισμικό που χρησιμοποιείται στη διαδικασία εκκίνησης εμπιστεύεται τον OEM. Ο σκοπός της τεχνολογίας είναι η αποτροπή κακόβουλων εξαγορών και παραβίασης σε επίπεδο πυρήνα.

Τα σφάλματα που ανακαλύφθηκαν από το Eclypsium επέτρεψαν στους χάκερ να ξεπεράσουν την προστασία που προσφέρει το Secure Boot και να αποκτήσουν πλήρη έλεγχο της διαδικασίας εκκίνησης της συσκευής, αποκτώντας αποτελεσματικά πρόσβαση στη συσκευή και το λειτουργικό της σύστημα. Τα τέσσερα σφάλματα έχουν βαθμολογηθεί με βαθμολογία σοβαρότητας 8,3 στα 10 κάτω από το Σύστημα Κοινοτικής Ευπάθειας.

Τα τέσσερα σφάλματα έχουν να κάνουν με μια λύση που ονομάζεται BIOSConnect - μια εφαρμογή που βρέθηκε σε πολλά υλικά της Dell που υποτίθεται ότι παρέχουν επιλογές υποστήριξης για τους πελάτες. Χρησιμοποιώντας το BIOSConnect, οι νόμιμοι τεχνικοί υποστήριξης μπορούν να ενημερώσουν το υλικολογισμικό στη συσκευή που εκτελεί το BIOSConnect και μπορούν επίσης να εκτελέσουν απομακρυσμένες λειτουργίες επαναφοράς συστήματος.

Οι αναλυτές ασφαλείας σημείωσαν ότι παρόμοιες εφαρμογές απομακρυσμένης υποστήριξης γίνονται όλο και πιο συχνές όχι μόνο με την Dell αλλά και με άλλους προμηθευτές υλικού. Παρόλο που η ευκολία αυτού του τύπου απομακρυσμένης υποστήριξης είναι αναμφισβήτητη, δεν πρέπει να παραβλέπουμε τους σχετικούς κινδύνους, όπως φαίνεται από την ανακάλυψη αυτών των κρίσιμων σφαλμάτων.

Μερικά από τα σφάλματα βασίζονται σε ευπάθειες υπερχείλισης, ενώ το κύριο που χρησιμοποιείται για την απόκτηση εισόδου και την καταχώριση ως CVE-2021-21571 σχετίζεται με τον τρόπο με τον οποίο το λογισμικό BIOSConnect έρχεται σε επαφή με τους διακομιστές υποστήριξης υποστήριξης της Dell.

Όταν το λογισμικό BIOSConnect συνδέεται με τους διακομιστές, θα δώσει το ok σε οποιοδήποτε πιστοποιητικό μπαλαντέρ. Αυτό σημαίνει ότι ένας εισβολέας που έχει προνομιακή πρόσβαση στο δίκτυο μπορεί να το κάνει κατάχρηση και να παραβιάσει τη σύνδεση και, στη συνέχεια, να εγκαταστήσει ό, τι θέλει στο σύστημα του θύματος και ο τελικός χρήστης δεν θα ήταν σοφότερος.

Η Dell έχει ήδη ξεκινήσει να προωθεί ζωντανά patches για το πρόβλημα. Η εταιρεία κυκλοφόρησε μια επίσημη συμβουλευτική σημείωση και ενημερώσεις για μεγάλο αριθμό συσκευών που επηρεάστηκαν. Οι υπόλοιπες ενημερώσεις αναμένονται τις επόμενες ημέρες, πιθανότατα στις αρχές Ιουλίου.