I colleghi di The Hackers News hanno riportato che cinque gravi vulnerabilità, in parte scoperte dalla società di sicurezza Binarly, affliggono i BIOS impiegati da Dell per molti dei prodotti della linea Alienware, Inspiron e Latitude. I bug in questione, tracciati come CVE-2022-24415, CVE-2022-24416, CVE-2022-24419, CVE-2022-24420, e CVE-2022-24421, potrebbero permettere a eventuali malintenzionati di eseguire codice potenzialmente dannoso grazie a exploit che sfruttano il System Management Mode del microcontroller x86, che solitamente si occupa della gestione dell’alimentazione e temperatura.

La gamma di prodotti interessati è piuttosto estesa, comprendendo i notebook Alienware 13, 15 e 17, i server Edge Gateway 3000 e 5000, i laptop Inspiron e gli all-in-one, i laptop e i desktop Vostro, i PC Embedded Box 3000 e 5000, i Thin Client Wyse 7040 e i desktop XPS 8930. Per l’elenco completo e verificare se anche un eventuale vostro dispositivo potrebbe essere a rischio, vi consigliamo di consultare questa pagina ufficiale del supporto, così da procedere eventualmente anche a un aggiornamento del firmware.

Binarly ha affermato a riguardo:

Questi bug sono una diretta conseguenza della complessità del codice o del supporto per componenti legacy che ricevono meno attenzione alla sicurezza, ma sono ancora ampiamente distribuiti sul campo. In molti casi, la stessa vulnerabilità può essere risolta in più iterazioni e, ancora, la complessità della superficie di attacco lascia lacune aperte per lo sfruttamento malevolo.

La maggior parte degli strumenti aziendali disponibili per l’analisi del codice sorgente non sono adatti per individuare i difetti di sicurezza specifici del firmware. Ci sono molteplici ragioni, una delle più ovvie è la differenza nelle implementazioni delle funzioni di gestione della memoria rispetto al software non specifico del firmware. Questo porta a un falso senso di sicurezza quando non vengono rilevate vulnerabilità a livello di codice sorgente.

Nonostante siano trascorsi tre mesi da quando Binarly ha segnalato il problema a Dell alla pubblicazione di BIOS corretti, si tratta di un ottimo risultato, in quanto la stessa Binary ha ammesso che solitamente con altri produttori è necessario aspettare almeno il doppio per la risoluzione di una problematica.