كشف باحثون في الأمن السيبراني عن عدة ثغرات أمنية خطيرة في برمجيات Dell ControlVault3 الثابتة (Firmware) وواجهات برمجة التطبيقات الخاصة بها في نظام Windows، يمكن للمهاجمين استغلالها لتجاوز تسجيل الدخول في ويندوز، واستخراج المفاتيح التشفيرية، والحفاظ على الوصول حتى بعد إعادة تثبيت نظام التشغيل، وذلك من خلال زرع برمجيات خبيثة غير قابلة للكشف داخل البرنامج الثابت.
وقد أطلق فريق Cisco Talos على هذه الثغرات اسم ReVault، وأكد أن أكثر من 100 طراز من الحواسيب المحمولة التابعة لشركة Dell والمزودة بشرائح Broadcom BCM5820X معرضة للخطر. وحتى الآن، لا توجد أدلة على استغلال هذه الثغرات في هجمات فعلية.
استهداف الأنظمة عالية الأمان
تُستخدم أجهزة ControlVault بشكل شائع في الصناعات التي تتطلب مستويات أمان مرتفعة أثناء تسجيل الدخول، مثل القارئات الذكية (Smart Card Readers) أو قارئات الاتصال قريب المدى (NFC). وتوفر هذه التقنية وسيلة آمنة لتخزين كلمات المرور، والقوالب البيومترية، وأكواد الأمان داخل البرنامج الثابت للجهاز.
يمكن للمهاجمين استغلال هذه الثغرات بشكل متسلسل – كما عُرض في مؤتمر Black Hat USA – لرفع الامتيازات بعد الوصول الأولي، وتجاوز ضوابط المصادقة، والحفاظ على وجودهم في الأنظمة المستهدفة حتى بعد تحديث أو إعادة تثبيت نظام التشغيل. ويشكّل هذا السيناريو وسيلة قوية للوصول السري والمستمر إلى بيئات عالية القيمة.
الثغرات الأمنية المكتشفة
شملت الثغرات المعلنة ما يلي:
-
CVE-2025-25050 (درجة CVSS: 8.8) – ثغرة كتابة خارج الحدود في وظيفة cv_upgrade_sensor_firmware قد تؤدي إلى كتابة بيانات في موقع غير مخصص.
-
CVE-2025-25215 (درجة CVSS: 8.8) – ثغرة تحرير ذاكرة عشوائية في وظيفة cv_close قد تسمح بتحرير غير مصرح به للذاكرة.
-
CVE-2025-24922 (درجة CVSS: 8.8) – ثغرة فيض في الذاكرة المكدسية في وظيفة securebio_identify قد تؤدي إلى تنفيذ أوامر عشوائية.
-
CVE-2025-24311 (درجة CVSS: 8.4) – ثغرة قراءة خارج الحدود في وظيفة cv_send_blockdata قد تتسبب في تسريب معلومات.
-
CVE-2025-24919 (درجة CVSS: 8.1) – ثغرة إلغاء تسلسل مدخلات غير موثوقة في وظيفة cvhDecapsulateCmd قد تؤدي إلى تنفيذ أوامر عشوائية.
خطر الوصول المادي للهجمات
وأشار الباحثون إلى أن المهاجم المحلي الذي يمتلك وصولًا ماديًا إلى الحاسوب المحمول يمكنه فتحه والوصول إلى لوحة Unified Security Hub (USH)، مما يتيح له استغلال أي من الثغرات الخمس دون الحاجة إلى تسجيل الدخول أو امتلاك كلمة مرور تشفير القرص بالكامل.
وقال الباحث في Cisco Talos، فيليب لوليريه: “يمكن استخدام هجوم ReVault كتقنية للحفاظ على الاختراق حتى بعد إعادة تثبيت ويندوز، كما يمكن استغلاله للوصول المادي لتجاوز تسجيل الدخول في ويندوز أو منح أي مستخدم محلي صلاحيات المسؤول أو النظام”.
إجراءات التخفيف والحماية
أوصت شركة Dell المستخدمين بتطبيق التحديثات الأمنية الصادرة، وتعطيل خدمات ControlVault إذا لم تكن الأجهزة الطرفية مثل قارئات البصمة، والقارئات الذكية، وقارئات NFC مستخدمة، بالإضافة إلى تعطيل تسجيل الدخول عبر البصمة في البيئات عالية المخاطر.
