Os bugs da Dell recém-descobertos afetam 30 milhões de PCs

Os bugs da Dell recém-descobertos afetam 30 milhões de PCs

Pesquisadores de segurança alertaram que pelo menos 30 milhões de computadores Dell podem estar em risco após a descoberta de várias vulnerabilidades que podem permitir que invasores executem códigos arbitrários no BIOS das máquinas.

O fornecedor de segurança Eclypsium disse que 129 modelos Dell foram afetados pela cadeia de quatro bugs, que têm uma pontuação CVSS cumulativa de 8,4 (alta).

“Essas vulnerabilidades permitem que um invasor execute código remotamente no ambiente de pré-inicialização. Tal código pode alterar o estado inicial de um sistema operacional, violando suposições comuns sobre as camadas de hardware / firmware e quebrando os controles de segurança no nível do sistema operacional ”, explicou em uma postagem no blog.

“À medida que os invasores mudam cada vez mais seu foco para as cadeias de suprimentos do fornecedor e firmware do sistema, é mais importante do que nunca que as organizações tenham visibilidade e controle independentes sobre a integridade de seus dispositivos.”

As vulnerabilidades afetam o BIOSConnect, um recurso do SupportAssist que permite aos usuários executar uma recuperação remota do sistema operacional ou atualizar o firmware no dispositivo conectando seu BIOS aos serviços de back-end da Dell pela Internet.

O principal problema gira em torno do CVE-2021-21571, que descreve uma conexão TLS insegura do BIOS de uma máquina para o back-end da Dell, o que significa que aceitará “qualquer certificado curinga válido”. Isso pode permitir que um invasor com uma posição de rede privilegiada se faça passar pela Dell e entregue conteúdo malicioso de volta ao dispositivo vítima, disse Eclypsium.

As outras três falhas – CVE-2021-21572, CVE-2021-21573 e CVE-2021-21574 – são vulnerabilidades de estouro, duas das quais afetam o processo de recuperação do sistema operacional, enquanto a outra afeta o processo de atualização do firmware.

“Todas as três vulnerabilidades são independentes e cada uma pode levar à execução arbitrária de código no BIOS”, explicou Eclypsium.

O cenário de ataque descrito pelo Eclypsium exigiria que um invasor redirecionasse o tráfego da vítima, por exemplo, por meio de técnicas de “máquina no meio”. No entanto, ele alegou que esse seria um nível relativamente baixo para invasores sofisticados capazes de falsificação ARP e envenenamento de cache DNS ou exploração de bugs em VPNs e equipamentos de rede de escritórios domésticos.

“Comprometer com sucesso a BIOS de um dispositivo daria a um invasor um alto grau de controle sobre o dispositivo”, explicou Eclypsium.

“O invasor pode controlar o processo de carregamento do sistema operacional host e desabilitar as proteções para não ser detectado. Isso permitiria que um invasor estabeleça persistência contínua enquanto controla os privilégios mais altos no dispositivo. ”

A Dell pediu aos clientes que atualizem para a versão mais recente do BIOS do cliente Dell o mais rápido possível para reduzir o risco de ataque.

Bharat Jogi, gerente sênior de pesquisa de vulnerabilidade e ameaças da Qualys , disse que a descoberta foi “altamente preocupante”.

“O BIOS é crítico para o processo de inicialização de um dispositivo e sua segurança é vital para garantir a segurança de todo o dispositivo. Isso é especialmente importante no ambiente atual devido à crescente onda de ataques à cadeia de suprimentos ”, acrescentou.

“Esta cadeia de vulnerabilidades de segurança permite contornar as proteções de inicialização seguras, pode ser explorada para assumir o controle total do dispositivo e, portanto, as organizações devem priorizar a aplicação de patches.”

Fonte: https://www.infosecurity-magazine.com/