リモート攻撃にさらされた何百万ものDellデバイス

サイバーセキュリティの研究者は最近、Dellデバイスの4つのセキュリティ問題を詳述したレポートを公開しました。見積もりには、リモートでコードが実行され、BIOS攻撃を受ける可能性のある3,000万のDellエンドポイントがリストされています。

ZDNetはこの問題について報告し、企業のセキュリティ会社Eclypsiumと協力しているアナリストを引用しました。研究者は、合計129のデルブランドのラップトップ、タブレット、構築済みのデスクトップコンピュータ、および4つの重大なバグに悩まされているエンタープライズグレードのデルハードウェアをリストアップしました。バグは、デバイスへのセキュアブートの実装に関係しています。

セキュアブートは、さまざまなPC業界企業間の共同作業として策定された業界標準であり、その目的は、ブート手順で使用されるソフトウェアがOEMによって信頼されている場合にのみ、セキュアブートで保護されたデバイスがブートできるようにすることです。このテクノロジーの目的は、悪意のある乗っ取りやカーネルレベルの改ざんを防ぐことです。

Eclypsiumによって発見されたバグにより、ハッカーはセキュアブートによって提供される保護を回避し、デバイスの起動手順を完全に制御して、デバイスとそのOSに効果的にアクセスできるようになりました。 4つのバグは、Common Vulnerability ScoringSystemの下で10点満点中8.3の重大度スコアでスコアリングされています。

4つのバグは、BIOSConnectと呼ばれるソリューションに関係しています。これは、お客様にサポートオプションを提供することになっている多くのDellハードウェアに見られる実装です。 BIOSConnectを使用すると、正当なサポート技術者はBIOSConnectを実行しているデバイスのファームウェアを更新でき、システムの復元操作をリモートで実行することもできます。

セキュリティアナリストは、同様のリモートサポートの実装が、Dellだけでなく他のハードウェアベンダーでもますます一般的になっていると指摘しました。このタイプのリモートサポートの利便性は否定できませんが、これらの重大なバグの発見によって示されるように、それに伴う関連するリスクを見逃してはなりません。

一部のバグはオーバーフローの脆弱性に依存していますが、エントリを取得するために使用され、CVE-2021-21571として登録される主なバグは、BIOSConnectソフトウェアがDellのバックエンドサポートサーバーに接続する方法に関連しています。

BIOSConnectソフトウェアがサーバーに接続すると、ワイルドカード証明書に問題がなくなります。これは、特権ネットワークアクセスを持つ攻撃者がこれを悪用して接続を乗っ取り、被害者のシステムに必要なものをインストールする可能性があることを意味します。エンドユーザーは賢明ではありません。

デルはすでにこの問題のライブパッチのプッシュを開始しています。同社は、影響を受ける多数のデバイスの公式アドバイザリノートとアップデートをリリースしました。残りの更新は、今後数日、おそらく7月上旬に予定されています。