Una amplia gama de vulnerabilidades afecta a millones de computadoras portátiles Dell utilizadas por agencias gubernamentales, profesionales de ciberseguridad y empresas en todo el mundo.
Las vulnerabilidades, denominadas colectivamente “Revault”, se dirigen al chip de seguridad Broadcom BCM5820X integrado en el firmware ControlVault3 de Dell, creando oportunidades para que los atacantes roben contraseñas, datos biométricos y mantengan acceso persistente a los sistemas comprometidos.
Las vulnerabilidades afectan a más de 100 modelos diferentes de computadoras portátiles Dell, principalmente de las series de latitud y precisión centradas en el negocio que se implementan ampliamente en entornos sensibles.
Estos dispositivos se encuentran comúnmente en las empresas de ciberseguridad, las instalaciones gubernamentales y las implementaciones resistentes donde las características de seguridad mejoradas como Smartcard y la autenticación de NFC son esenciales.
Dell ControlVault sirve como una “solución de seguridad basada en hardware que proporciona un banco seguro que almacena sus contraseñas, plantillas biométricas y códigos de seguridad dentro del firmware”, según la compañía.
El sistema opera en un tablero de hija separado llamado un centro de seguridad unificado (USH), que conecta varios periféricos de seguridad, incluidos los lectores de huellas digitales, los lectores de tarjetas inteligentes y los dispositivos NFC.
Ataque de revault: cinco vulnerabilidades críticas
Los investigadores de Cisco Talos identificaron cinco vulnerabilidades distintas en los sistemas ControlVault3 y ControlVault3+:
CVE-2025-24311: una vulnerabilidad de lectura fuera de los límites que entera la fuga de información CVE-2025-25050: una falla de escritura fuera de los límites que permite la ejecución del código CVE-2025-25215: una vulnerabilidad gratuita de memoria arbitraria CVE-2025-24922: un overflow de meteorggro de meteorbia de arbitraje de la vulneridad ejecutoria: cVe-202525252222222222: el overflow basado en el buffer de la pila: el overflow de arbitrar cVe-CVE-202919. defecto de deserialización insegura en las API de Windows de Controlvault
Todas las vulnerabilidades recibieron puntajes CVSS por encima de 8.0, clasificándolos como amenazas de gravedad “alta”. La combinación de estos defectos crea escenarios de ataque particularmente peligrosos que los expertos en seguridad advierten que podrían tener consecuencias de gran alcance.
El aspecto más preocupante de las vulnerabilidades de Revault es su potencial para establecer un compromiso persistente que permanezca sin ser detectado incluso después de una reinstalación completa de Windows.
Escenario de ataque (Fuente: Talos)
Según los investigadores, un usuario no administrativo puede interactuar con el firmware de ControlVault a través de las API de Windows para activar la ejecución de código arbitrario, lo que permite a los atacantes extraer claves criptográficas y modificar permanentemente el firmware.
“Esto crea el riesgo de un llamado implante que podría pasar desapercibido en el firmware ControlVault de una computadora portátil y eventualmente usarse como un pivote en el sistema en el caso de la estrategia de compromiso de un actor de amenaza”, los Talos “, el Talos Equipo explicó en su divulgación técnica.
La naturaleza persistente de estos ataques representa una escalada significativa en las amenazas basadas en firmware, ya que el código malicioso reside por debajo del nivel del sistema operativo, donde las soluciones antivirus tradicionales no pueden detectarlo o eliminarlo.
Más allá de la explotación remota, las vulnerabilidades también permiten ataques físicos devastadores. Los investigadores demostraron que un atacante con breve acceso físico a una computadora portátil puede abrir el chasis y acceder directamente a la placa USH a través de USB utilizando un conector personalizado.
Este enfoque evita la necesidad de credenciales de inicio de sesión del sistema o conocimiento de contraseñas de cifrado de disco completo.
Los investigadores mostraron cómo se podría configurar el firmware de ControlVault manipulado para aceptar cualquier huella digital para la autenticación, incluidos objetos no humanos como las verduras.
Un video lanzado por Cisco Talos muestra una cebolla de primavera que desbloquea con éxito una computadora portátil Dell comprometida, destacando el desglose completo de los controles de seguridad biométrica.
“Si un sistema está configurado para desbloquear con la huella digital del usuario, también es posible manipular el firmware de ControlVault para aceptar cualquier huella digital en lugar de solo permitir un usuario legítimo”, señalaron los investigadores.
Respuesta de Dell
Dell respondió rápidamente a la divulgación de vulnerabilidad, trabajando con Broadcom para desarrollar y distribuir actualizaciones de firmware a partir de marzo de 2025.
La compañía notificó a los clientes los problemas de seguridad críticos el 13 de junio de 2025, y ha estado lanzando parches a través de Windows Update y el sitio web de soporte de Dell.
“Trabajando con nuestro proveedor de firmware, abordamos los problemas de forma rápida y transparente las vulnerabilidades informadas de acuerdo con nuestra política de respuesta a vulnerabilidad”, declaró un portavoz de Dell. La compañía enfatizó que no se ha descubierto evidencia de explotación activa en la naturaleza.
Las vulnerabilidades afectan las versiones Dell ControlVault3 antes de 5.15.10.14 y las versiones Dell ControlVault3+ antes de 6.2.26.36. Se insta a las organizaciones a aplicar actualizaciones de firmware de inmediato, ya que la implementación automatizada a través de Windows Update puede no llegar a todos los entornos empresariales con políticas de actualización restringidas.
“Estos hallazgos destacan la importancia de evaluar la postura de seguridad de todos los componentes de hardware dentro de sus dispositivos, no solo el sistema operativo o el software”, concluyeron los investigadores de Cisco Talos. “Mantenerse atento, parchear sus sistemas y evaluar de manera proactiva el riesgo es esencial para salvaguardar sus sistemas contra las amenazas en evolución”.
Asesor de seguridad de Dell DSA-2025-053 Contiene detalles completos sobre modelos afectados y procedimientos de remediación. Las organizaciones pueden acceder al firmware actualizado a través del sitio web de soporte de Dell o a través de mecanismos de actualización de Windows.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
