DSA-2021-106: Dell İstemci BIOS'unun Bir Parçası Olan BIOSConnect ve HTTPS Önyükleme Özelliklerindeki Birden Fazla Güvenlik Açığı İçin Dell İstemci Platformu Güvenlik Güncelleştirmesi

Özel CVE Kodları	Açıklama	CVSS Taban Puanı	CVSS Vektör Dizesi
CVE-2021-21571	Dell BIOSConnect özelliği, Dell UEFI BIOS https yığınını kullanır ve Dell HTTPS Önyükleme özelliği, hatalı sertifika doğrulaması güvenlik açığı içerir. Kimliği doğrulanmamış uzaktaki bir saldırgan, hizmet reddine ve yük üzerinde değişikliğe neden olabilecek bir ortadaki adam (MITM) saldırısı gerçekleştirerek bu güvenlik açığından yararlanabilir.	5.9	CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572, CVE-2021-21573, CVE-2021-21574	Dell BIOSConnect özelliğinde, arabellek taşması şeklinde görülen bir güvenlik açığı bulunmaktadır. Sisteme yerel erişimi olan ve kimliği doğrulanmış kötü amaçlı bir yönetici kullanıcı, rastgele kod çalıştırmak ve UEFI kısıtlamalarını atlamak için bu güvenlik açığından yararlanabilir.	7.2	CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H

Dell BIOSConnect ve HTTPS önyükleme özelliklerinin açıklaması:

• Dell BIOSConnect özelliği, Dell İstemci platformlarındaki SupportAssist OS Recovery'yi kullanarak sistem BIOS'unu güncelleştirmek ve işletim sistemini (OS) kurtarmak için kullanılan bir Dell önyükleme öncesi çözümüdür. Not: BIOSConnect, bu özelliğin başlatılması için fiziksel olarak bir kullanıcının bulunmasını gerektirir. BIOSConnect özelliğine sahip bir dizi platform bu durumdan etkilenmektedir. Etkilenen platformlar için aşağıdaki Ek Bilgiler bölümünde yer alan tabloya bakın.
• Dell HTTPS Önyükleme özelliği, UEFI HTTP Önyükleme teknik özelliklerinin bir uzantısı olup HTTP(S) sunucusundan önyükleme yapmak için kullanılır. Not: Bu özellik varsayılan olarak yapılandırılmamıştır ve yapılandırma için yerel işletim sistemi yönetici haklarına sahip bir kullanıcının fiziksel olarak bulunmasını gerektirir. Ayrıca, özelliğin kablosuz ağlarla birlikte kullanıldığında başlatılması için de bir kullanıcının fiziksel olarak bulunması gereklidir. Her platformda HTTPS Önyükleme özelliği mevcut değildir. Etkilenen platformların listesi için aşağıdaki Ek Bilgiler bölümünde yer alan tabloya bakın.

Yukarıdaki güvenlik açıkları, bir güvenlik açığı zinciri olarak bildirilmiştir. Güvenlik açığı zincirinin toplam puanı: 8.3 Yüksek CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.

Bu zincirden kötü amaçlarla faydalanılması için ilave adımlar gerekir:

• BIOSConnect'teki güvenlik açığı zincirinden faydalanmak isteyen kötü amaçlı bir aktör, bunu başarmak için bazı ek adımları ayrı ayrı gerçekleştirmelidir. Bunlara; bir kullanıcı ağının güvenliğinin tehlikeye atılması, Dell UEFI BIOS https yığınının yerleşik sertifika yetkililerinden biri tarafından güvenilen bir sertifika edinilmesi ve bir kullanıcının BIOSConnect özelliğini kullanmak üzere fiziksel olarak sistemin başına geçmesinin beklenmesi dahildir.
• HTTPS Önyükleme özelliğindeki güvenlik açığı zincirinden faydalanmak isteyen kötü amaçlı bir aktör, bunu başarmak için bazı ek adımları ayrı ayrı gerçekleştirmelidir. Bunlara; bir kullanıcı ağının güvenliğinin tehlikeye atılması, Dell UEFI BIOS https yığınının yerleşik sertifika yetkililerinden biri tarafından güvenilen bir sertifika edinilmesi ve bir kullanıcının HTTPS Önyükleme özelliğini kullanmak üzere fiziksel olarak sistemin başına geçmesinin beklenmesi dahildir.

Müşteriler, aşağıdaki çözümleri uygulamanın yanı sıra, yalnızca güvenli ağlar kullanarak ve aygıtlara yetkisiz yerel ve fiziksel erişimleri engelleyerek en iyi güvenlik uygulamalarını izleyebilir ve böylece kendilerini daha iyi koruyabilirler. Müşteriler daha fazla koruma için Güvenli Önyükleme (Windows kullanılan Dell platformları için varsayılan olarak etkindir) ve BIOS Yönetici Parolası gibi platform güvenlik özelliklerini de etkinleştirmelidir.

Not: Güvenli Önyükleme özelliğinin devre dışı olması, CVE-2021-21571 güvenlik açığıyla ilişkilendirilen potansiyel önem derecesini etkileyebilir.

Dell arka uç sunuculardaki BIOSConnect ile ilgili CVE-2021-21573 ve CVE-2021-21574, 28 Mayıs 2021'de sunucu tarafında düzeltildi ve ek müşteri eylemi gerektirmemektedir.

CVE-2021-21571 ve CVE-2021-21572 güvenlik açıklarının giderilmesi için Dell İstemcisi BIOS güncelleştirmeleri gereklidir. Sisteminize uygulanacak düzeltilmiş Dell İstemcisi BIOS sürümünü belirlemek için Ek Bilgiler bölümündeki tabloya bakın. Dell İstemci BIOS'unu güncelleştirmenin birden çok yolu vardır. BIOS'unuzu güncelleştirmek için genellikle BIOSConnect'i kullanıyorsanız Dell, BIOS güncelleştirmelerini uygulamak için farklı bir yöntem kullanmanızı önerir. Örneğin:

• BIOS güncelleştirmeleri kullanıma sunulduğunda bildirim almak ve güncelleştirmeleri otomatik olarak indirmek için Dell bildirim çözümlerinden birini kullanma.
• Geçerli ürünlere yönelik güncelleştirmeler için Drivers and Downloads sitesini ziyaret etme. Daha fazla bilgi edinmek için Dell BIOS Güncelleştirmeleri başlıklı Dell Knowledge Base makalesini ziyaret edin ve Dell bilgisayarınız için güncelleştirmeyi indirin.
• F12 One-Time Boot (F12 Tek Seferlik Önyükleme) Menüsünden BIOS'u Yükseltme.

BIOS güncelleştirmelerini hemen uygulayamayan kullanıcılar için Dell, BIOSConnect ve HTTPS Önyükleme özelliklerinin devre dışı bırakılması amacıyla geçici bir risk azaltma çözümü de sağlamıştır. Aşağıdaki bölüme bakın.