DSA-2021-106: обновление системы безопасности клиентской платформы Dell для нескольких уязвимостей функций BIOSConnect и HTTPS Boot в составе клиентской BIOS Dell

Проприетарный код CVE	Описание	CVSS Базовая оценка	CVSS Векторная строка
CVE-2021-21571	Стек Dell UEFI BIOS https, который используется функциями Dell BIOSConnect и Dell HTTPS Boot, содержит уязвимость проверки ненадлежащих сертификатов. Удаленный злоумышленник, не прошедший проверку подлинности, может воспользоваться этой уязвимостью, используя атаку посредника, которая может привести к отказу в обслуживании и несанкционированному вмешательству в полезную нагрузку.	5.9	CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572, CVE-2021-21573, CVE-2021-21574	Функция Dell BIOSConnect содержит уязвимость переполнения буфера. Злоумышленник, прошедший проверку подлинности, может воспользоваться этой уязвимостью, чтобы выполнить произвольный код и обойти ограничения UEFI.	7.2	CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H

Описание функций Dell BIOSConnect и HTTPS Boot:

• Функция Dell BIOSConnect — это предзагрузочное решение Dell, которое используется для обновления BIOS системы и восстановления операционной системы (ОС) с помощью SupportAssist OS Recovery на клиентских платформах Dell. Примечание. Для запуска этой функции BIOSConnect требуется физическое присутствие пользователя. Это затрагивает только подмножество платформ с функцией BIOSConnect. Список затронутых платформ см. в таблице в разделе «Дополнительная информация» ниже.
• Функция Dell HTTPS Boot является расширением спецификаций UEFI HTTP Boot для загрузки с сервера HTTP(S). Примечание. Эта функция не настроена по умолчанию и требует физического присутствия пользователя с правами локального администратора ОС для настройки. Кроме того, физически присутствующий пользователь должен инициировать эту функцию при работе с беспроводными сетями. Не все платформы поддерживают функцию HTTPS Boot. Список затронутых платформ см. в таблице в разделе «Дополнительная информация» ниже.

Указанные выше уязвимости были отмечены как цепочка уязвимостей. Совокупная оценка цепочки уязвимостей: 8.3 Высокая CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.

Использование цепочки требует дополнительных действий:

• Перед успешным использованием цепочки уязвимостей в BIOSConnect, злоумышленник должен отдельно выполнить дополнительные действия, в том числе: взломать сеть пользователя, получить доверенный сертификат одного из встроенных центров сертификации стека Dell UEFI BIOS https, и дождаться момента, когда пользователь будет физически присутствовать в системе, для использования функции BIOSConnect.
• Перед успешным использованием цепочки уязвимостей в HTTPS Boot, злоумышленник должен отдельно выполнить дополнительные действия, в том числе: взломать сеть пользователя, получить доверенный сертификат одного из встроенных центров сертификации стека Dell UEFI BIOS https, и дождаться момента, когда пользователь будет физически присутствовать в системе, для изменения порядка загрузки и использования функции HTTPS Boot.

В дополнение к исправлениям ниже, заказчики могут защитить себя, следуя передовым практикам безопасности, используя только защищенные сети и предотвращая несанкционированный локальный и физический доступ к устройствам. Для дополнительной защиты заказчикам также следует включить функции безопасности платформы, такие как безопасная загрузка (включена по умолчанию для платформ Dell с Windows) и пароль администратора BIOS.

Примечание. Если функция безопасной загрузки отключена, она может повлиять на потенциальную степень серьезности, связанную с уязвимостью безопасности CVE-2021-21571.

CVE-2021-21573 и CVE-2021-21574 были устранены на стороне компонентов, относящихся к BIOSConnect, внутреннего сервера Dell 28 мая 2021 года, и не требуют дополнительных действий со стороны заказчика.

Для устранения уязвимостей CVE-2021-21571 и CVE-2021-21572 требуются обновления BIOS клиента Dell. См. таблицу в разделе «Дополнительная информация», чтобы определить версию исправленной BIOS клиента Dell, которая будет применяться к вашей системе. Существует несколько способов обновления BIOS клиента Dell. Если для обновления BIOS обычно используется BIOSConnect, Dell рекомендует использовать другой метод, чтобы применить обновления BIOS, например:

• Использовать одно из решений Dell для отправки уведомлений, чтобы получать уведомления и автоматически скачивать обновления BIOS сразу после их публикации.
• Получите обновления для применимых продуктов на сайте Драйверы и загружаемые материалы. Для получения дополнительной информации найдите статью базы знаний Dell Обновления Dell BIOS и загрузите обновление для вашего компьютера Dell.
• Обновление BIOS из меню однократной загрузки (F12).

Для тех пользователей, которые не могут сразу применить обновления BIOS, Dell также предоставила временное решение для отключения функций BIOSConnect и HTTPS Boot. См. раздел ниже.