Вразливість ControlVault: нова загроза безпеці

Що якби найзахищеніше місце в лептопі, де зберігаються паролі, біометрія та ключі шифрування, виявилося вразливим до атак? 

Саме це сталося з чипом Broadcom ControlVault у понад 100 моделях Dell, які активно використовують у сфері кібербезпеки, урядових структурах та «польових» умовах.

Команда Cisco Talos виявила ланцюжок із п’яти критичних вразливостей у прошивці, які отримали назву ReVault. Вони дозволяють хакерам:

• викрасти облікові дані;
• залишити постійний бекдор у системі;
• змусити сканер відбитків пальців приймати будь-який відбиток.

І це все — на рівні, недоступному для антивірусів та стандартного моніторингу. Тобто шкідливе ПЗ може залишатися прихованим навіть після перевстановлення ОС.

Що таке ControlVault і чому ця вразливість така небезпечна?

ControlVault — це окремий мікрокомп’ютер усередині ноутбука. Він створений спеціально для ізоляції та захисту:

• паролів і ключів;
• біометричних шаблонів (наприклад, відбитків пальців);
• кодів двофакторної автентифікації.

Апаратний модуль (USH — Unified Security Hub), який відповідає за цю функцію, використовується для інтеграції смарткарт, NFC-токенів і сканерів. Іронія в тому, що саме цей елемент, який має підвищувати безпеку, став найвразливішим місцем.

Що відбувається у випадку атаки?

Ось як виглядає типова атака:

1. Хакер отримує первинний доступ до системи (наприклад, через фішинг або фізичний доступ).
2. Проникає в прошивку ControlVault, використовуючи CVE-2025-24919 — ключову уразливість, яка дозволяє зробити це без прав адміністратора.
3. Далі зловмисник:
   • витягує ключі шифрування;
   • залишає бекдор;
   • змінює поведінку біометричних сенсорів;
   • або просто ховає в ControlVault шкідливе ПЗ, яке не побачить жоден антивірус.

Серед вразливостей також:

• CVE-2025-24311/CVE-2025-25050 — дозволяють читати або записувати дані в захищену зону;
• CVE-2025-24922 — вихід за межі буфера, що дозволяє виконати довільний код усередині ControlVault;
• CVE-2025-25215 — можливість видалення пам’яті, що дає змогу приховати сліди атаки.

Чому це має значення для DevOps-фахівця?

У DevOps-середовищі безпека — це важлива вимога. Якщо ти працюєш із CI/CD, чи керуєш інфраструктурою, слабке місце в прошивці ноутбука — це потенційна катастрофа:

• злиті облікові дані = доступ до VPN або хмарних сервісів;
• бекдор на фізичному рівні = втрата контролю над системою;
• підробка біометрії = обхід MFA і доступ до корпоративних середовищ.

Особливо це актуально, якщо DevOps-інженер працює з конфіденційною інфраструктурою, віддалено або використовує робочий ноутбук у відрядженні.

Що робити? 

1. Онови прошивку. Dell уже випустила патчі до ControlVault — це перший крок, який треба зробити негайно.
2. Відключи ControlVault, якщо не використовуєш біометрію чи смарткарти. Це можна зробити через Windows Service Manager.
3. Переоцінюй ризики. Ноутбук, залишений без нагляду, може бути скомпрометований.
4. Не ігноруй фірмові компоненти безпеки. Інколи вони стають слабкою ланкою, навіть якщо виглядають надійно.

ReVault — ще одне нагадування, що безпечно на 100% не буде. Безпека починається з контролю. І з оновлення прошивки — теж.