ReVault Attack

كشف باحثو الأمن السيبراني عن مجموعة خطيرة من الثغرات الأمنية في برنامج ControlVault3 الثابت من Dell وواجهات برمجة تطبيقات Windows ذات الصلة. في حال استغلال هذه الثغرات، قد تسمح للمهاجمين بتجاوز تسجيل الدخول إلى Windows، وسرقة مفاتيح التشفير، والحفاظ على وصول طويل الأمد حتى بعد إعادة تثبيت نظام التشغيل، وذلك عن طريق زرع برمجيات خبيثة وخفية مباشرةً في البرنامج الثابت.

من هو المعرض للخطر؟

تأثرت أكثر من 100 طراز من أجهزة الكمبيوتر المحمولة من Dell المزودة بشرائح Broadcom BCM5820X. ورغم عدم رصد أي استغلال نشط حتى الآن، إلا أن هذا التأثير مثير للقلق بشكل خاص بالنسبة للقطاعات التي تعتمد على المصادقة القوية عبر قارئات البطاقات الذكية أو أجهزة الاتصال قريب المدى (NFC).

صُمم ControlVault لتخزين كلمات المرور والنماذج البيومترية ورموز الأمان بشكل آمن في البرامج الثابتة. للأسف، يُتيح تسلسل هذه العيوب للمهاجمين رفع مستوى امتيازاتهم وتجاوز المصادقة والبقاء مخفيين حتى بعد مسح النظام أو تحديثه.

نقاط الضعف الخمس في ReVault

أطلق الباحثون على هذه المجموعة من الثغرات اسم ReVault. تُشكل هذه الثغرات مجتمعةً أسلوبًا قويًا للاستمرار بعد الاختراق، قادر على الوصول سرًا إلى أهداف عالية القيمة.

• CVE-2025-25050 (CVSS 8.8) – الكتابة خارج الحدود في cv_upgrade_sensor_firmware
• CVE-2025-25215 (CVSS 8.8) – تحرير عشوائي في cv_close
• CVE-2025-24922 (CVSS 8.8) – تجاوز سعة المخزن المؤقت المستند إلى المكدس في securebio_identify
• CVE-2025-24311 (CVSS 8.4) – قراءة خارج الحدود في cv_send_blockdata
• CVE-2025-24919 (CVSS 8.1) – إلغاء تسلسل المدخلات غير الموثوقة في cvhDecapsulateCmd

يمكن أن تؤدي كل هذه الأمور إلى نتائج وخيمة تتراوح من تنفيذ التعليمات البرمجية بشكل عشوائي إلى تسريب المعلومات.

الوصول المادي: اختصار مباشر للمهاجمين

حتى بدون استغلال عن بُعد، يمكن لمهاجم محلي يتمتع بإمكانية الوصول الفعلي فتح جهاز الكمبيوتر المحمول واستهداف لوحة مركز الأمان الموحد (USH) مباشرةً. يسمح هذا باستغلال أيٍّ من الثغرات الأمنية دون تسجيل الدخول أو معرفة كلمة مرور تشفير القرص بالكامل.

وهذا يجعل ReVault خطيرًا ليس فقط كتقنية للاستمرار عن بعد ولكن أيضًا كطريقة اختراق مادية لتجاوز تسجيل الدخول إلى Windows أو منح أي امتيازات إدارية للمستخدم المحلي.

تقليل المخاطر

ينصح خبراء الأمن المستخدمين بتطبيق التحديثات الأمنية الرسمية من Dell دون تأخير، وتعطيل خدمات ControlVault عند عدم استخدام أجهزة قراءة البيانات الحيوية، أو قارئات البطاقات الذكية، أو قارئات NFC، وفي البيئات عالية الخطورة، إيقاف تسجيل الدخول ببصمة الإصبع تمامًا للحد من التعرض المحتمل. تساعد هذه الإجراءات على سد الثغرات الأمنية المعروفة التي قد يستغلها المهاجمون للوصول غير المصرح به أو الحفاظ على استمرارية الأجهزة المخترقة. من خلال الحد من استخدام أجهزة المصادقة التي يحتمل أن تكون عرضة للخطر، يمكن للمؤسسات تقليل مساحة الهجوم بشكل كبير. كما ينبغي أن تكون عمليات التدقيق الأمني المنتظمة والمراقبة اليقظة جزءًا من استراتيجية الدفاع الأوسع لضمان الحماية المستمرة من التهديدات الناشئة.