Millones de dispositivos Dell expuestos a ataques remotos
Los investigadores de seguridad cibernética publicaron recientemente un informe que detalla cuatro problemas de seguridad con los dispositivos Dell. La estimación enumera 30 millones de terminales Dell que podrían sufrir ejecución remota de código y ataques al BIOS.
ZDNet informó sobre el problema, citando a analistas que trabajan con la firma de seguridad empresarial Eclypsium. Los investigadores enumeraron un total de 129 computadoras portátiles, tabletas y computadoras de escritorio prefabricadas de la marca Dell, así como hardware Dell de nivel empresarial que sufren los cuatro errores críticos. Los errores tienen que ver con la implementación de Secure Boot en los dispositivos.
Secure Boot es un estándar de la industria elaborado como un esfuerzo conjunto entre varias empresas de la industria de PC y su propósito es garantizar que los dispositivos protegidos con él solo puedan arrancar cuando el software utilizado en el procedimiento de arranque sea de confianza por parte del OEM. El propósito de la tecnología es evitar adquisiciones maliciosas y alteraciones a nivel de kernel.
Los errores descubiertos por Eclypsium permitieron a los piratas informáticos sortear la protección ofrecida por Secure Boot y obtener un control completo sobre el procedimiento de inicio del dispositivo, obteniendo acceso efectivo al dispositivo y su sistema operativo. Los cuatro errores se han puntuado con una puntuación de gravedad de 8,3 sobre 10 según el Sistema de puntuación de vulnerabilidad común.
Los cuatro errores tienen que ver con una solución llamada BIOSConnect, una implementación que se encuentra en una gran cantidad de hardware de Dell y que supuestamente brinda opciones de soporte a los clientes. Con BIOSConnect, los técnicos de soporte legítimos pueden actualizar el firmware en el dispositivo que ejecuta BIOSConnect y también pueden ejecutar operaciones de restauración del sistema de forma remota.
Los analistas de seguridad señalaron que las implementaciones de soporte remoto similares se están volviendo cada vez más comunes no solo con Dell sino con otros proveedores de hardware. Aunque la conveniencia de este tipo de soporte remoto es innegable, los riesgos asociados que lo acompañan no deben pasarse por alto, como lo demuestra el descubrimiento de esos errores críticos.
Algunos de los errores se basan en vulnerabilidades de desbordamiento, mientras que el principal que se usa para obtener la entrada y se registra como CVE-2021-21571 está relacionado con la forma en que el software BIOSConnect contacta con los servidores de soporte backend de Dell.
Cuando el software BIOSConnect se conecta a los servidores, daría la autorización a cualquier certificado comodín. Esto significa que un atacante que tiene acceso privilegiado a la red puede abusar de esto y secuestrar la conexión, luego instalar lo que quiera en el sistema de la víctima, y el usuario final no se daría cuenta.
Dell ya ha comenzado a impulsar parches en vivo para el problema. La compañía lanzó una nota de advertencia oficial y actualizaciones para una gran cantidad de dispositivos afectados. El resto de las actualizaciones se esperan en los próximos días, probablemente a principios de julio.
