Dell BIOSConnect の欠陥は 128 種類の PC などに影響をおよぼす

Flaws in Dell BIOSConnect feature affect 128 device models

2021/06/24 SecurityAffairs — サイバー・セキュリティ企業である Eclypsium の研究者が、DellClient BIOS の BIOSConnect 機能に影響する複数の脆弱性を発見した。この脆弱性を悪用して、特権を持つ攻撃者は対象デバイスの BIOS/UEFI レベルで、任意のコードを実行することが可能となる。

Eclypsium は、「この一連の脆弱性は、累積 CVSS スコアが 8.3 (High) であり、特権を持つネットワーク上の攻撃者が Dell.com になりすまし、対象となるデバイスの BIOS/UEFI レベルで任意のコードを実行できる。このような攻撃を受けた場合、攻撃者はデバイスのブート・プロセスを制御し、OS および上位層のセキュリティ・コントロールを破壊できる」と発表している。以下は、Eclypsium の専門家が指摘した脆弱性の一覧である。

CVE-2021-21571 – BIOS から Dell へ向けた TLS 接続の安全性が確保されていないため、脅威アクター Dell.com になりすまし、被害者のデバイスに悪意のコードを配信することが可能だ。BIOSConnect からの TLS 接続も、任意の有効なワイルドカード証明書を受け入れるため、この攻撃は可能である。

CVE-2021-21572 / CVE-2021-21573 / CVE-2021-21574 – 任意のコード実行を可能にする、オーバーフローの脆弱性。

これらの欠陥は、Dell のコンシューマー/ビジネス向けのノートパソコン/デスクトップ/タブレットなどの 129 のモデルに影響し、セキュアブートで保護されたデバイスや Dell Secured-core PC にも影響をおよぼす。BIOSConnect とは、ネットワークベースのブートリカバリーを提供し、ハード・ドライブやパーティションが破損した場合に回復させる役割を持つ。それにより、BIOS が HTTPS 経由で Dell のサーバーに接続し、OS のイメージをダウンロードする。専門家によると、この問題が悪用されるとデバイスの整合性が失われ、OS レベルのセキュリティ保護を回避し、プリブート環境で悪意のコードをリモート実行することが可能になるという。

これらの欠陥は 3月3日に報告され、5月末には CVE-2021-21573 / CVE-2021-21574に対応するサーバー側のアップデートが公開されたとのことです。また、クライアント側の BIOS ファームウェアのアップデートを公開され、残りの2つの欠陥への対応が完了しています。なお、Dell は、BIOSConnect と HTTPS Boot の両機能の無効にするという、回避策も提供しています。

%d bloggers like this: