ニュース

Dell製PCのサポートツールに任意コード実行の脆弱性 ~発見者は17歳のセキュリティ研究者

CSRFの欠陥も。v3.2.0.90以降へのアップデートを

「Dell SupportAssist」のクライアントに複数の脆弱性

 米Dellは、同社製PC向けサポートソリューション「Dell SupportAssist」のクライアントに複数の脆弱性が存在することを明らかにした。最悪の場合、システムの乗っ取りに悪用される可能性があるという。

 「Dell SupportAssist」は、Dell製PCのハードウェアやソフトウェアに関する情報を収集し、正常に機能しているかを診断するツール。トラブルシューティングに必要なデータをDellへ送信し、問題の兆候が発見されればそれを未然に防止する手立てを案内するプロアクティブなソリューションだ。プリインストールでの提供に加え、公式サイトからのダウンロードが可能。あらかじめセットアップされていれば、サポートサイトで自分が利用しているモデルが自動で検出されるのも便利だ。

 しかし、この自動検出システムに問題があり、リモートから任意のコードが実行可能となっていたようだ。この脆弱性(CVE-2019-3719)を発見したのは17歳のセキュリティ研究者で、4月30日付けのブログ記事でその詳細と攻撃を実演した概念実証(PoC)ビデオが公表されている。

Dell Remote Code Execution Demo

 Dellが公開したセキュリティアドバイザリによると、「Dell SupportAssist」v3.2.0.90より前のバージョンにはこの脆弱性のほかにも、オリジンの検証が不適切なためクロスサイトリクエストフォージェリ(CSRF)攻撃を受ける脆弱性(CVE-2019-3718)があるとのこと。“CVSS v3”のベーススコアは“CVE-2019-3718”が“7.6”、“CVE-2019-3719”が“7.1”。同社はv3.2.0.90以降へのアップデートを推奨している。