کمیته رکن چهارم – در برخی از نرمافزارهای از پیش نصبشدهی سامانههای دِل آسیبپذیریهایی وجود دارد که مهاجمان با بهرهبرداری از آن میتوانند راهکارهای امنیتی را در سامانه غیرفعال کرده و عملیاتی مانند ارتقاء امتیاز و اجرای کد دلخواه در مفاد برنامههای کاربردی را انجام دهند.
اولین آسیبپذیری با شناسهی CVE-۲۰۱۶-۹۰۳۸ برنامههای Invincea-X و فضای کاری محافظتشدهی دِل را تحت تأثیر قرار میدهد و منجر میشود تا راهاندازهای دستگاه، توسط هرکسی قابل خواندن و نوشتن باشند. هر فردی میتواند با ارسال دادههای جعلی به این برنامههای آسیبپذیر، راهاندازها را خوانده و یا بر روی آنها بنویسد. محققان امنیتی سیسکو توضیح دادند: «بهرهبرداری موفق از این آسیبپذیریها منجر به نوشتن در فضای حافظهی هسته میشود که در ادامهی آن مهاجمان میتوانند بهطور محلی، امتیازات خود را ارتقاء دهند.»
سیسکو همچنین در مورد آسیبپذیری با شناسهی CVE-۲۰۱۶-۸۷۳۲ هشدار داد. این آسیبپذیری از چندین اشکال در مؤلفهی راهانداز Invincea که راهکاری امنیتی برای دستگاههای انتهایی در سامانههای دِل است، استفاده میکند. محدودیتهای ضعیف بر روی کانال ارتباطیِ راهانداز و اعتبارسنجی ناکافی، به یک برنامهی آسیبپذیر که در اختیار مهاجم قرار گرفته، اجازه میدهد که از راهاندازها استفاده کرده و برخی ویژگیهای امنیتی را در نرمافزار غیرفعال کند. این آسیبپذیری در نسخهی ۶.۳.۰ از این برنامهی کاربردی وصله شده است. سومین آسیبپذیری با شناسهی CVE-۲۰۱۷-۲۸۰۲ برنامهی کاربردی بهینهساز دِل را تحت تأثیر قرار داده و میتواند منجر به اجرای کد دلخواه توسط مهاجم شود.
سیسکو در توضیحات خود افزود: «با توجه به اینکه برنامهی کاربردی Invincea شرکت دِل معمولاً برای محافظت از دستگاه در محیطهای امنیتی و مهم مورد استفاده قرار میگیرد، به سازمانها توصیه میشود اگر از نسخههای آسیبپذیر این نرمافزار استفاده میکنند، هرچه سریعتر آن را بهروزرسانی کنند تا مهاجمان سایبری نتوانند راهکارهای امنیتی ارائهشده توسط این محصول را دور بزنند.»
