بیل دِمیرکاپی، پژوهشگر امنیتی مستقل ۱۷ ساله یک آسیبپذیری حیاتی اجرای کد از راه دور را در ابزار SupportAssist دل کشف کرده است که در بیشتر رایانههای دل از پیش نصبشده است. SupportAssist دل که قبلاً بهعنوان System Detect دل شناخته میشد، سلامت نرمافزاری و سختافزاری سیستم رایانهی کاربر را بررسی میکند.
این ابزار بهمنظور برقراری تعامل با وبگاه پشتیبانی دل طراحی شده است و بهطور خودکار برچسب خدمات یا کد خدمات مخصوص محصول دل کاربر را شناسایی میکند، درایورهای دستگاه موجود را اسکن و بهروزرسانیهای درایور موجود را نصب میکند و همچنین آزمایش های تشخیص ایراد سختافزاری را انجام میدهد.
در واقع SupportAssist در پسزمینه یک وبسرور را بهصورت محلی در سیستم کاربر و در درگاههای ۸۸۸۴، ۸۸۸۳، ۸۸۸۶ و یا درگاه ۸۸۸۵ اجرا میکند و دستورات مختلفی را بهعنوان پارامترهای آدرس اینترنتی میپذیرد تا برخی وظایف از پیش تعیینشده در رایانه مانند جمعآوری اطلاعات دقیق سیستم یا بارگیری یک نرمافزار از سرور راه دور و نصب آن در سیستم را انجام دهد.
اگرچه وبسرویس محلی محافظت میشود و اعتبارسنجیهایی دارد که آن را محدود میکند تا تنها دستورات ارسال شده از وبگاه dell.com یا زیردامنههای آن را بپذیرد، دِمیرکاپی روشهای دور زدن این راهکارهای محافظتی را در یک پست وبلاگی تشریح کرد. وی در این پست نشان داد که نفوذگران راه دور چگونه توانستهاند بهراحتی بدافزار را از یک سرور راه دور در رایانههای آسیب دیدهی دل بارگیری و نصب کنند تا کنترل کامل آنها را به دست گیرند.
شرکت دل در توصیهنامهی خود بیان کرد که یک مهاجم احراز هویت نشده که لایهی دسترسی شبکه را با سیستم آسیبپذیر به اشتراک میگذارد، میتواند با فریب کاربر به بارگیری و اجرای کدهای دلخواه از طریق کلاینت SupportAssist از وبگاههای مهاجم، سیستم آسیبپذیر را در معرض خطر قرار دهد. این آسیبپذیری اجرای کد از راه دور با شناسهی CVE-2019-3719 شناسایی میشود و نسخههای قبل از نسخهی ۳٫۲٫۰٫۹۰ کلاینت SupportAssist دل را تحت تأثیر قرار میدهد.
این پژوهشگر جوان قبل از افشای عمومی جزئیات این آسیبپذیری، یافتههای خود را به گروه امنیتی دل گزارش داد و این گروه یک نسخهی بهروزرسانیشده از نرمافزار آسیبدیده را منتشر کردند تا این مسأله را رفع کنند. علاوهبرآن، دل یک آسیبپذیری اعتبارسنجی نامناسب منبع را در نرمافزار SupportAssist وصله کرد که به مهاجم راه دور اجازه میداد تا حملات CSRF را در سیستمهای کاربر انجام دهد. به کاربران دل توصیه میشود که نسخهی ۳٫۲٫۰٫۹۰ SupportAssist یا نسخهی جدیدتر را نصب کنند و یا بهطور کلی این برنامه را حذف کنند.
