ReVault 공격

사이버 보안 연구원들이 Dell의 ControlVault3 펌웨어와 관련 Windows API에서 심각한 보안 취약점을 발견했습니다. 이 취약점이 악용될 경우, 공격자는 Windows 로그인을 우회하고 암호화 키를 훔치며, 운영 체제 재설치 후에도 악성 은밀 코드를 펌웨어에 직접 심어 장기간 접속을 유지할 수 있습니다.

위험에 처한 사람은 누구인가요?

Broadcom BCM5820X 시리즈 칩을 사용하는 100대 이상의 Dell 노트북 모델이 영향을 받습니다. 현재까지 실제 악용 사례는 발견되지 않았지만, 스마트 카드 리더기나 근거리 무선 통신(NFC) 기기를 통한 강력한 인증에 의존하는 업계에 특히 심각한 영향을 미칠 것으로 예상됩니다.

ControlVault는 비밀번호, 생체 인식 템플릿, 보안 코드를 펌웨어에 안전하게 저장하도록 설계되었습니다. 하지만 이러한 취약점을 연쇄적으로 악용하면 공격자가 권한을 상승시키고, 인증을 우회하고, 시스템 삭제 또는 업데이트 후에도 은신 상태를 유지할 수 있습니다.

ReVault의 5가지 취약점

연구원들은 이 취약점 그룹에 ReVault라는 코드명을 부여했습니다. 이 두 취약점은 함께 강력한 침투 후 지속성 기법을 구축하여 고가치 대상에 은밀하게 접근할 수 있도록 합니다.

• CVE-2025-25050(CVSS 8.8) – cv_upgrade_sensor_firmware의 범위를 벗어난 쓰기
• CVE-2025-25215(CVSS 8.8) – cv_close의 임의적 무료
• CVE-2025-24922(CVSS 8.8) – securebio_identify의 스택 기반 버퍼 오버플로
• CVE-2025-24311(CVSS 8.4) – cv_send_blockdata에서 범위를 벗어난 읽기
• CVE-2025-24919(CVSS 8.1) – cvhDecapsulateCmd에서 신뢰할 수 없는 입력의 역직렬화

이러한 각각의 공격은 임의 코드 실행부터 정보 유출까지 심각한 결과를 초래할 수 있습니다.

물리적 접근: 공격자를 위한 직접적인 지름길

원격 공격이 없더라도, 물리적으로 접근 가능한 로컬 공격자는 노트북을 열고 USH(Unified Security Hub) 보드를 직접 공격할 수 있습니다. 이를 통해 로그인하거나 전체 디스크 암호화 비밀번호를 알지 못해도 모든 취약점을 악용할 수 있습니다.

이로 인해 ReVault는 원격 지속성 기술로서뿐만 아니라 Windows 로그인을 우회하거나 로컬 사용자에게 관리자 권한을 부여하는 물리적인 손상 방법으로서도 위험합니다.

위험 감소

보안 전문가들은 사용자에게 Dell 공식 패치를 즉시 적용하고, 생체 인식 판독기, 스마트 카드 판독기 또는 NFC 판독기를 사용하지 않을 때는 ControlVault 서비스를 비활성화하고, 고위험 환경에서는 지문 로그인 기능을 완전히 꺼 잠재적인 노출을 최소화할 것을 권고합니다. 이러한 조치는 공격자가 무단 접근을 시도하거나 감염된 기기에 대한 지속성을 유지하기 위해 악용할 수 있는 알려진 보안 허점을 해소하는 데 도움이 됩니다. 잠재적으로 취약한 인증 하드웨어 사용을 제한함으로써 조직은 공격 표면을 크게 줄일 수 있습니다. 정기적인 보안 감사와 철저한 모니터링 또한 새로운 위협으로부터 지속적인 보호를 보장하기 위한 광범위한 방어 전략의 일부로 포함되어야 합니다.