Milioni di dispositivi Dell esposti ad attacchi remoti

I ricercatori della sicurezza informatica hanno recentemente pubblicato un rapporto che descrive in dettaglio quattro problemi di sicurezza con i dispositivi Dell. La stima elenca 30 milioni di endpoint Dell che potrebbero subire l'esecuzione di codice remoto e attacchi al BIOS.

ZDNet ha riferito del problema, citando gli analisti che lavorano con la società di sicurezza aziendale Eclypsium. I ricercatori hanno elencato un totale di 129 laptop, tablet e computer desktop prefabbricati a marchio Dell, nonché hardware Dell di livello aziendale che soffre dei quattro bug critici. I bug hanno a che fare con l'implementazione di Secure Boot sui dispositivi.

Secure Boot è uno standard di settore elaborato come uno sforzo congiunto tra varie aziende del settore dei PC e il suo scopo è garantire che i dispositivi protetti con esso possano avviarsi solo quando il software utilizzato nella procedura di avvio è considerato attendibile dall'OEM. Lo scopo della tecnologia è prevenire acquisizioni dannose e manomissioni a livello di kernel.

I bug scoperti da Eclypsium hanno permesso agli hacker di aggirare la protezione offerta da Secure Boot e ottenere il controllo completo sulla procedura di avvio del dispositivo, ottenendo in modo efficace l'accesso al dispositivo e al suo sistema operativo. I quattro bug sono stati valutati con un punteggio di gravità di 8,3 su 10 nell'ambito del Common Vulnerability Scoring System.

I quattro bug hanno a che fare con una soluzione chiamata BIOSConnect, un'implementazione trovata su molti hardware Dell che dovrebbe fornire opzioni di supporto per i clienti. Utilizzando BIOSConnect, i tecnici del supporto legittimo possono aggiornare il firmware sul dispositivo che esegue BIOSConnect e possono anche eseguire operazioni di ripristino del sistema in remoto.

Gli analisti della sicurezza hanno notato che implementazioni di supporto remoto simili stanno diventando sempre più comuni non solo con Dell ma anche con altri fornitori di hardware. Anche se la comodità di questo tipo di supporto remoto è innegabile, i rischi associati che ne derivano non devono essere trascurati, come dimostrato dalla scoperta di quei bug critici.

Alcuni dei bug si basano su vulnerabilità di overflow, mentre il principale utilizzato per ottenere l'accesso e registrato come CVE-2021-21571 è correlato al modo in cui il software BIOSConnect contatta i server di supporto backend di Dell.

Quando il software BIOSConnect si connette ai server, darebbe l'ok a qualsiasi certificato con caratteri jolly. Ciò significa che un utente malintenzionato che dispone di un accesso di rete privilegiato può abusarne e dirottare la connessione, quindi installare ciò che desidera sul sistema della vittima e l'utente finale non sarebbe più saggio.

Dell ha già iniziato a inviare patch live per il problema. La società ha rilasciato una nota di avviso ufficiale e aggiornamenti per un gran numero di dispositivi interessati. Il resto degli aggiornamenti è previsto nei prossimi giorni, probabilmente all'inizio di luglio.