Távoli támadásoknak kitett Dell-eszközök milliói

A kiberbiztonsági kutatók nemrégiben jelentést tettek közzé, amelyben részletesen bemutatták a Dell eszközök négy biztonsági kérdését. A becslés 30 millió Dell végpontot sorol fel, amelyek távoli kódfuttatást és BIOS-támadásokat szenvedhetnek.

A ZDNet beszámolt a kérdésről, idézve az Eclypsium vállalati biztonsági céggel dolgozó elemzőket. A kutatók összesen 129 Dell márkájú laptopot, táblagépet és előre gyártott asztali számítógépet, valamint vállalati szintű Dell hardvert soroltak fel, amelyek a négy kritikus hibától szenvednek. A hibák a Secure Boot eszközön történő megvalósításához kapcsolódnak.

A Secure Boot egy olyan ipari szabvány, amelyet különféle számítógép-ipari vállalkozások közösen dolgoztak ki, és célja annak biztosítása, hogy a vele védett eszközök csak akkor indulhassanak el, ha az eredeti rendszer megbízza a rendszerindítási eljárás során használt szoftvert. A technológia célja a rosszindulatú átvételek és a kernel szintű manipulációk megakadályozása.

Az Eclypsium által felfedezett hibák lehetővé tették a hackerek számára, hogy megkerüljék a Secure Boot által nyújtott védelmet, és teljes irányítást szerezhessenek az eszköz indítási eljárása felett, hatékonyan hozzáférve az eszközhöz és annak operációs rendszeréhez. A négy hibát 10-ből 8,3-as súlyossági pontszámmal értékelték a Common Vulnerability Scoring System alapján.

A négy hiba a BIOSConnect nevű megoldáshoz kapcsolódik - ez egy olyan megvalósítás, amely sok Dell hardveren megtalálható, és állítólag támogatási lehetőségeket kínál az ügyfelek számára. A BIOSConnect használatával a törvényes támogatási szakemberek frissíthetik a firmware-t a BIOSConnect-et futtató eszközön, és távolról is végrehajthatják a rendszer-visszaállítási műveleteket.

A biztonsági elemzők megjegyezték, hogy a hasonló távoli támogatás megvalósításai egyre gyakoribbak nemcsak a Dell, hanem más hardvergyártók esetében is. Annak ellenére, hogy az ilyen típusú távoli támogatás kényelme tagadhatatlan, az ezzel járó kapcsolódó kockázatokat nem szabad figyelmen kívül hagyni, amint azt a kritikus hibák felfedezése is mutatja.

A hibák egy része túlcsorduló biztonsági résekre támaszkodik, míg a fő, amelyet a bejegyzés megszerzésére használnak és CVE-2021-21571 néven regisztrálnak, a BIOSConnect szoftver kapcsolatfelvételével áll kapcsolatban a Dell háttérszolgáltató szervereivel.

Amikor a BIOSConnect szoftver csatlakozik a szerverekhez, minden helyettesítő tanúsítvánnyal rendben van. Ez azt jelenti, hogy a privilegizált hálózati hozzáféréssel rendelkező támadó visszaélhet ezzel, és eltérítheti a kapcsolatot, majd bármit telepíthet az áldozat rendszerébe, és a végfelhasználó sem lenne bölcsebb.

A Dell már elkezdte az élő javítások nyomását a kérdésben. A vállalat kiadott egy hivatalos tanácsadó feljegyzést és frissítéseket az érintett eszközök nagy részére. A frissítések fennmaradó része a következő napokban várható, valószínűleg július elején.