Los investigadores de seguridad de Cisco Talos han revelado públicamente un conjunto de cinco vulnerabilidades críticas de firmware, llamadas colectivamente”Revault”. Los defectos afectan la función de seguridad ControlVault de Dell, un sistema presente en más de 100 modelos de computadora portátil. Estos defectos son particularmente severos ya que residen en el firmware del dispositivo, una capa debajo del sistema operativo que a menudo se confía implícitamente.
denominado”Revault”, los fallas podrían permitir a los atacantes evitar medidas de seguridad, robar datos confidenciales como contraseñas e información biométrica y obtener acceso persistente a un dispositivo. Las vulnerabilidades residen en un chip de seguridad de Broadcom utilizado para crear una bóveda supuestamente segura para las credenciales.
Dell, que emitió parches para los defectos entre marzo y mayo de 2025 y , confirmó que no hay evidencia de que las vulnerabilidades sean explotadas en la naturaleza. La divulgación completa de Cisco Talos llegó el 5 de agosto de 2025, antes de una presentación de la Conferencia de Hat Black Hat.
a una base secure con una secuación con un victor de vía segura
En el corazón del problema está el control de Dell , un sistema en chip (SOC) comercializado como un”banco seguro”para la información más sensible de un usuario. Esta arquitectura de”computadora dentro de una computadora”está destinada a crear una raíz de fideicomiso de hardware, aislar las operaciones de seguridad críticas del procesador principal y el sistema operativo potencialmente comprometido.
El hardware específico en riesgo es el chip Broadcom BCM5820X, que funciona como un centro de seguridad unificado (USH) en las computadora portátiles afectadas. Este centro es esencial para habilitar características como lectores de huellas digitales e inicios de sesión basados en NFC, que a menudo son obligatorios para el cumplimiento de sectores como las finanzas, la salud y la contratación del gobierno. Philippe Laulheret, un investigador principal de Cisco Talos, señaló que”las industrias sensibles que requieren una mayor seguridad al iniciar sesión… tienen más probabilidades de encontrar dispositivos ControlVault en su entorno, ya que son necesarios para habilitar estas características de seguridad”. Combinado, cree potentes vectores de ataque. Los fallas (CVE-2025-24311, CVE-2025-25050, CVE-2025-25215, CVE-2025-24922 y CVE-2025-24919) desmantelan de manera efectiva las defensas de la bóveda, lo que permite que un atacante lea, escriba y ejecute código dentro de la firmware de los investigadores. Uno es un ataque remoto, donde un atacante con privilegios limitados podría aprovechar las API de Windows para ejecutar código malicioso en el firmware. Esto establece una amenaza que es invisible para el software antivirus tradicional y persiste, incluso si el usuario reinstala por completo Windows, un escenario de pesadilla para los equipos de seguridad.
Un escenario más dramático implica acceso físico. Un atacante podría abrir la caja de la computadora portátil y conectarse directamente a la USH. Debido a que el ataque se dirige directamente a la USH, evita toda la seguridad del nivel del sistema operativo, incluido el cifrado de disco completo de BitLocker. En una sorprendente prueba de concepto, los investigadores de Talos demostraron que podían manipular el firmware para aceptar cualquier huella digital, incluso desbloquear un dispositivo con una cebolla de resorte.
Esto destaca un área creciente de preocupación por la seguridad del hardware. Como Nick Basinini, jefe de divulgación en Cisco Talos, explicó:”Estos conceptos de enclaves seguros y el uso de biometría… se están volviendo cada vez más extendidos. Se está volviendo común en los dispositivos, pero también introduce una nueva superficie de ataque”, subrayando la necesidad de un escrutinio más profundo de estos sistemas incrustados.
Dell respondió a los hallazgos antes de la divulgación pública. En un comunicado, un portavoz de la compañía enfatizó su enfoque proactivo, declarando:”Trabajando con nuestro proveedor de firmware, abordamos los problemas de forma rápida y transparente las vulnerabilidades reportadas de acuerdo con nuestra política de respuesta a vulnerabilidad”. La línea de tiempo refleja un proceso de divulgación coordinada responsable, dando al proveedor meses para preparar parches antes de que se hicieran públicos los fallas. Target=”_ Blank”> Security Advisory, DSA-2025-053 , el 13 de junio. Para los administradores de TI, esto significa priorizar los más de 100 modelos afectados en sus ciclos de gestión de parches. Para las organizaciones que no usan estas características, deshabilitar los servicios ControlVault es otro paso recomendado.
Dell también enfatizó la importancia de la diligencia del usuario, y agregó:”Como siempre, es importante que los clientes apliquen las actualizaciones de seguridad de inmediato que ponemos a disposición y movemos a las versiones compatibles de nuestros productos para garantizar que sus sistemas permanezcan seguros”. Un portavoz comentó además sobre el valor de estas colaboraciones, afirmando que este proceso es una parte clave del fortalecimiento de la seguridad para toda la industria.
en última instancia, el caso de Revault sirve como un recordatorio marcado de que la seguridad es una cadena, y la base de hardware es uno de sus vínculos más críticos. A medida que los dispositivos se vuelven más complejos, la seguridad de cada componente en la cadena de suministro, desde el chip hasta el firmware, requiere una validación constante y rigurosa.
En el corazón del problema está el control de Dell , un sistema en chip (SOC) comercializado como un”banco seguro”para la información más sensible de un usuario. Esta arquitectura de”computadora dentro de una computadora”está destinada a crear una raíz de fideicomiso de hardware, aislar las operaciones de seguridad críticas del procesador principal y el sistema operativo potencialmente comprometido.
El hardware específico en riesgo es el chip Broadcom BCM5820X, que funciona como un centro de seguridad unificado (USH) en las computadora portátiles afectadas. Este centro es esencial para habilitar características como lectores de huellas digitales e inicios de sesión basados en NFC, que a menudo son obligatorios para el cumplimiento de sectores como las finanzas, la salud y la contratación del gobierno. Philippe Laulheret, un investigador principal de Cisco Talos, señaló que”las industrias sensibles que requieren una mayor seguridad al iniciar sesión… tienen más probabilidades de encontrar dispositivos ControlVault en su entorno, ya que son necesarios para habilitar estas características de seguridad”. Combinado, cree potentes vectores de ataque. Los fallas (CVE-2025-24311, CVE-2025-25050, CVE-2025-25215, CVE-2025-24922 y CVE-2025-24919) desmantelan de manera efectiva las defensas de la bóveda, lo que permite que un atacante lea, escriba y ejecute código dentro de la firmware de los investigadores. Uno es un ataque remoto, donde un atacante con privilegios limitados podría aprovechar las API de Windows para ejecutar código malicioso en el firmware. Esto establece una amenaza que es invisible para el software antivirus tradicional y persiste, incluso si el usuario reinstala por completo Windows, un escenario de pesadilla para los equipos de seguridad.
Un escenario más dramático implica acceso físico. Un atacante podría abrir la caja de la computadora portátil y conectarse directamente a la USH. Debido a que el ataque se dirige directamente a la USH, evita toda la seguridad del nivel del sistema operativo, incluido el cifrado de disco completo de BitLocker. En una sorprendente prueba de concepto, los investigadores de Talos demostraron que podían manipular el firmware para aceptar cualquier huella digital, incluso desbloquear un dispositivo con una cebolla de resorte.
Esto destaca un área creciente de preocupación por la seguridad del hardware. Como Nick Basinini, jefe de divulgación en Cisco Talos, explicó:”Estos conceptos de enclaves seguros y el uso de biometría… se están volviendo cada vez más extendidos. Se está volviendo común en los dispositivos, pero también introduce una nueva superficie de ataque”, subrayando la necesidad de un escrutinio más profundo de estos sistemas incrustados.
Dell respondió a los hallazgos antes de la divulgación pública. En un comunicado, un portavoz de la compañía enfatizó su enfoque proactivo, declarando:”Trabajando con nuestro proveedor de firmware, abordamos los problemas de forma rápida y transparente las vulnerabilidades reportadas de acuerdo con nuestra política de respuesta a vulnerabilidad”. La línea de tiempo refleja un proceso de divulgación coordinada responsable, dando al proveedor meses para preparar parches antes de que se hicieran públicos los fallas. Target=”_ Blank”> Security Advisory, DSA-2025-053 , el 13 de junio. Para los administradores de TI, esto significa priorizar los más de 100 modelos afectados en sus ciclos de gestión de parches. Para las organizaciones que no usan estas características, deshabilitar los servicios ControlVault es otro paso recomendado.
Dell también enfatizó la importancia de la diligencia del usuario, y agregó:”Como siempre, es importante que los clientes apliquen las actualizaciones de seguridad de inmediato que ponemos a disposición y movemos a las versiones compatibles de nuestros productos para garantizar que sus sistemas permanezcan seguros”. Un portavoz comentó además sobre el valor de estas colaboraciones, afirmando que este proceso es una parte clave del fortalecimiento de la seguridad para toda la industria.
en última instancia, el caso de Revault sirve como un recordatorio marcado de que la seguridad es una cadena, y la base de hardware es uno de sus vínculos más críticos. A medida que los dispositivos se vuelven más complejos, la seguridad de cada componente en la cadena de suministro, desde el chip hasta el firmware, requiere una validación constante y rigurosa.
