DSA-2021-106: Dell 클라이언트 BIOS의 일부로 제공되는 BIOSConnect 및 HTTPS 부팅 기능의 여러 취약성에 대한 Dell 클라이언트 플랫폼 보안 업데이트

독점 코드 CVE	설명	CVSS 기본 점수	CVSS 벡터 문자열
CVE-2021-21571	Dell BIOSConnect 기능 및 Dell HTTPS 부팅 기능에서 활용하는 Dell UEFI BIOS HTTPS 스택에는 부적절한 인증서 유효성 검사 취약성이 있습니다. 인증되지 않은 원격 공격자는 중간자 공격을 사용하여 이 취약성을 이용할 수 있으며, 이로 인해 서비스 거부 및 페이로드 변조가 발생할 수 있습니다.	5.9	CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572, CVE-2021-21573, CVE-2021-21574	Dell BIOSConnect 기능에 버퍼 오버플로 취약성이 포함되어 있습니다. 시스템에 대한 로컬 액세스 권한이 있는 악의적인 인증된 관리자는 이 취약성을 악용하여 임의 코드를 실행하고 UEFI 제한을 우회할 수 있습니다.	7.2	CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H

Dell BIOSConnect 및 HTTPS 부팅 기능에 대한 설명:

• Dell BIOSConnect 기능은 Dell 클라이언트 플랫폼에서 SupportAssist OS Recovery를 사용하여 시스템 BIOS를 업데이트하고 OS(Operating System)를 복구하는 데 사용되는 Dell 부팅 전 솔루션입니다. 참고: BIOSConnect에서 이 기능을 시작하려면 실제 사용자가 필요합니다. BIOSConnect 기능이 있는 플랫폼의 하위 집합만 영향을 받습니다. 영향을 받는 플랫폼은 아래 추가 정보 섹션의 표를 참조하십시오.
• Dell HTTPS 부팅 기능은 HTTP(S) 서버에서 부팅하기 위한 UEFI HTTP 부팅 사양의 확장입니다. 참고: 이 기능은 기본적으로 구성되어 있지 않으며 구성하려면 로컬 OS 관리자 권한이 있는 실제 사용자가 필요합니다. 또한 무선 네트워크와 함께 사용할 때 이 기능을 시작하려면 실제 사용자가 필요합니다. 일부 플랫폼에는 HTTPS 부팅 기능이 포함되어 있지 않습니다. 영향을 받는 플랫폼 목록은 아래 추가 정보 섹션의 표를 참조하십시오.

위의 취약성은 취약성 체인으로 보고되었습니다. 취약성 체인의 누적 점수는 다음과 같습니다. 8.3 High CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.

체인을 악용하려면 다음 추가 단계가 필요합니다.

• BIOSConnect의 취약성 체인을 악용하려면 악의적인 행위자가 악용에 성공하기 전에 다음과 같은 추가 단계를 별도로 수행해야 합니다. 사용자 네트워크를 손상시키고 Dell UEFI BIOS https 스택의 기본 제공 인증 기관 중 하나에서 신뢰할 수 있는 인증서를 얻은 다음 시스템에 실제로 있는 사용자가 BIOSConnect 기능을 사용할 때까지 기다립니다.
• HTTPS 부팅의 취약성을 악용하려면 악의적인 행위자가 악용에 성공하기 전에 다음과 같은 추가 단계를 별도로 수행해야 합니다. 사용자 네트워크를 손상시키고 Dell UEFI BIOS HTTPS 스택의 기본 제공 인증 기관 중 하나에서 신뢰할 수 있는 인증서를 얻은 다음 시스템에 실제로 있는 사용자가 부팅 순서를 변경하고 HTTPS 부팅 기능을 사용할 때까지 기다립니다.

고객은 아래의 문제 해결 방법을 적용하는 것 외에도 보안 네트워크만 사용하고 디바이스에 대한 로컬 및 물리적 무단 액세스를 방지함으로써 보안 모범 사례를 따라 스스로를 더욱 보호할 수 있습니다. 고객은 보안 부팅(Windows가 설치된 Dell 플랫폼의 경우 기본적으로 활성화됨) 및 BIOS 관리자 암호와 같은 플랫폼 보안 기능을 활성화하여 보호 기능을 추가해야 합니다.

참고: 보안 부팅이 비활성화된 경우 CVE-2021-21571 보안 취약성과 관련된 잠재적 심각도에 영향을 줄 수 있습니다.

CVE-2021-21573 및 CVE-2021-21574는 2021년 5월 28일 Dell 백엔드 서버의 BIOSConnect 관련 구성 요소에서 문제 해결되었으며 추가 고객 조치가 필요하지 않습니다.

CVE-2021-21571 및 CVE-2021-21572는 취약성을 해결하기 위해 Dell 클라이언트 BIOS 업데이트가 필요합니다. 시스템에 적용할 문제 해결된 Dell 클라이언트 BIOS 버전을 확인하려면 추가 정보 섹션 아래의 표를 참조하십시오. Dell 클라이언트 BIOS를 업데이트하는 방법에는 여러 가지가 있습니다. 일반적으로 BIOSConnect를 사용하여 BIOS를 업데이트하는 경우 다음과 같은 다른 방법으로 BIOS 업데이트를 적용하는 것이 좋습니다.

• Dell 알림 솔루션 중 하나를 사용하여 BIOS 업데이트 다운로드가 제공되면 자동으로 알림을 받고 다운로드할 수 있습니다.
• 해당 제품에 대한 업데이트는 드라이버 및 다운로드 사이트를 참조하십시오. 자세히 알아보려면 Dell 기술 문서 Dell BIOS 업데이트 페이지를 방문하여 Dell 컴퓨터 업데이트를 다운로드하십시오.
• F12 One-Time Boot 메뉴에서 BIOS 업데이트에 설명되어 있습니다.

BIOS 업데이트를 즉시 적용할 수 없는 사용자를 위해 Dell은 BIOSConnect 및 HTTPS 부팅 기능을 비활성화하기 위한 임시 완화 조치를 제공했습니다. 아래 섹션을 참조하십시오.