Dell BIOSConnect / SupportAssist firmware update flaws (CVE-2021-21571)¶
Dell'in BIOSConnect pre-boot özelliğindeki dört açıktan oluşan bir zincir — herhangi bir geçerli wildcard certificate'i kabul eden güvensiz bir TLS check'i artı üç BIOS overflow'u — privileged-network konumundaki bir saldırganın Dell.com'u taklit etmesine ve UEFI/BIOS içinde kod çalıştırmasına izin veriyor; böylece ~129 modelde Secure Boot bypass ediliyor.
Mechanism¶
Neden çalışır — BIOS, OS daha var olmadan önce network'e güveniyor
BIOSConnect, pre-boot aşamasından remote OS recovery ve firmware update yapan bir UEFI özelliğidir (Dell SupportAssist'in bir parçası): networking'i ayağa kaldırır, bir Dell backend'inden bir image'i HTTPS ile bir RAMDisk'e indirir ve onu boot eder / flash'lar. Korumak zorunda olduğu platform invariant'ı, indirilen payload'ın gerçekten Dell'den geldiği ve authentic olduğudur — çünkü çalıştırdığı her şey firmware trust seviyesinde, OS'in üstünde ve Secure Boot'un erişemeyeceği bir yerde execute olur.
CVE-2021-21571 bu authenticity check'i kırar. BIOSConnect, Dell HTTP backend'ine TLS bağlantısını açtığında, *.dell.com/downloads.dell.com'a pin yapmak yerine built-in CA'lardan herhangi biri tarafından imzalanmış geçerli herhangi bir wildcard certificate'i kabul eder. Hardcoded DNS resolution ile birleştiğinde, privileged network konumundaki bir saldırgan (ARP spoofing, DNS poisoning, rogue device) ilgisiz bir domain için meşru olarak verilmiş bir certificate sunabilir, validation'ı geçirebilir ve Dell'i taklit edebilir — pre-boot ortamına saldırgan kontrolündeki içeriği teslim eder.
Bu MITM dayanak noktası ardından üç overflow bug'ını besler — CVE-2021-21572 / 21573 / 21574 (ikisi OS-recovery path'inde, biri firmware-update path'inde) — bunların her biri tek başına BIOS içinde arbitrary code execution sağlar. Net etki: bir network saldırganı firmware privilege seviyesinde kod çalıştırır, OS seviyesindeki kontrolleri ve Secure Boot'u yener ve tespit edilemeden persist edebilir. Tüm zincire yalnızca BIOSConnect invoke edildiğinde erişilebilir, ama Secured-core PC'lerde bile çalışır.
Walkthrough¶
Bu, Eclypsium'un açıkladığı analizi (DSA-2021-106) özetler; weaponized bir zincir değil, kavramsal bir trust-boundary walkthrough'udur.
- Position. Saldırgan, kurbanın segment'inde privileged-network konumu elde eder (ör. ARP/DNS spoofing) ki pre-boot HTTPS isteğini intercept edebilsin.
- Trigger. Kurban BIOSConnect'i invoke eder — BIOS menüsü üzerinden manuel olarak ("Update Firmware" / "SupportAssist OS Recovery") veya bir boot failure sonrasında.
- Impersonate (CVE-2021-21571). BIOSConnect, Dell olduğuna inandığı yere bağlanır. Saldırgan, built-in bir CA'dan herhangi bir geçerli wildcard certificate kullanarak TLS'i terminate eder; BIOSConnect bunu kabul eder:
BIOSConnect ──HTTPS──> [ attacker MITM ]
presents cert for "*.attacker-controlled.example" (valid, CA-signed)
BIOSConnect: certificate accepted ✗ (should require *.dell.com)
- Deliver payload (CVE-2021-21572/21573/21574). Saldırgan, bir BIOSConnect buffer'ını overflow eden, özel hazırlanmış bir recovery/update image'i döndürür ve BIOS içindeki execution'ı yönlendirir.
- Execute. Saldırgan kodu firmware privilege seviyesinde çalışır ve sonraki boot'u kontrol eder — Secure Boot'un üstünde ve dışında.
Eclypsium'un raporladığı kapsam ve şiddet
- Etkilenen: 129 Dell laptop, desktop ve tablet modeli (~30 milyon cihaz).
- Zincirin kümülatif CVSS değeri: 8.3 (High).
- Secure Boot'u bypass eder ve Dell Secured-core PC'lerde çalışır.
Detection¶
- Inventory & version check. Etkilenen modelleri tespit edin ve BIOS'un DSA-2021-106 fixed version'ında veya üzerinde olduğunu doğrulayın; listelenen modellerdeki güncel olmayan firmware, maruziyetin birincil göstergesidir.
- Network posture. Gerçek Dell altyapısında terminate olmayan BIOSConnect/pre-boot HTTP(S) trafiğine ve firmware update'lerinin çalıştığı segment'lerde L2/L3 spoofing'e (ARP/DNS anomalileri) dikkat edin.
- Config audit. BIOSConnect ve HTTPS Boot'un enabled kaldığı sistemleri, özellikle untrusted network'lerde, raporlayın.
Mitigation¶
BIOS'u patch'leyin ve untrusted network'lerde firmware'i BIOSConnect üzerinden güncellemeyin
- Dell'in DSA-2021-106 kapsamındaki fix'lerini uygulayın: CVE-2021-21573 / 21574 server-side olarak düzeltildi (28 Mayıs 2021); CVE-2021-21571 ve CVE-2021-21572 bir client BIOS update gerektirir.
- Patch uygulanana kadar (ve defense in depth olarak), BIOS Setup menüsü (F2) veya Dell Command | Configure üzerinden BIOSConnect ve HTTPS Boot'u disable edin.
- Bunun yerine BIOS'u trusted kanallar üzerinden güncelleyin — Dell'in driver portalı, Windows tabanlı update yardımcı programları veya F12 one-time boot menüsü — ve BIOSConnect'e güvenmek yerine update hash'ini manuel olarak doğrulayın.
- MITM önkoşulunu engellemek için firmware'e duyarlı recovery/update işlemlerini yalnızca trusted network'lerde çalıştırın.