I ricercatori di cybersecurity hanno recentemente scoperto gravi vulnerabilità nella firmware ControlVault3 di Dell, denominate ReVault, che mettono a rischio oltre 100 modelli di laptop del noto produttore. Queste falle, individuate da Cisco Talos, riguardano dispositivi che utilizzano chip Broadcom BCM5820X e possono essere sfruttate per compromettere la sicurezza di login su Windows, sottrarre chiavi crittografiche e mantenere l'accesso malevolo anche dopo una reinstallazione completa del sistema operativo.

ControlVault3 rappresenta una soluzione di sicurezza hardware che protegge password, dati biometrici e codici di sicurezza direttamente nella memoria firmware. È particolarmente usata in settori che richiedono autenticazione forte tramite smart card o lettori NFC. Tuttavia, le vulnerabilità scoperte consentono a un attaccante di concatenare differenti exploit per ottenere privilegi elevati, eludere i controlli di autenticazione e installare backdoor persistenti che sopravvivono agli aggiornamenti o alle reinstallazioni di Windows.

Le principali vulnerabilità identificate includono:

• CVE-2025-25050: un bug di tipo out-of-bounds write nella funzione cv_upgrade_sensor_firmware che permette la scrittura arbitraria in memoria.
• CVE-2025-25215: vulnerabilità di tipo arbitrary free nella funzione cv_close che consente la liberazione arbitraria della memoria.
• CVE-2025-24922: buffer overflow basato su stack nella funzione securebio_identify che può portare all’esecuzione di codice arbitrario.
• CVE-2025-24311: out-of-bounds read nella funzione cv_send_blockdata che comporta la possibilità di leak di informazioni sensibili.
• CVE-2025-24919: deserializzazione di input non attendibile nella funzione cvhDecapsulateCmd che può permettere l’esecuzione di codice malevolo.

Secondo quanto riportato, un attaccante con accesso fisico può inoltre agire direttamente sulla scheda Unified Security Hub (USH) di un laptop Dell, sfruttando le vulnerabilità senza nemmeno la necessità di conoscere le credenziali di accesso o la password di cifratura del disco.

La tecnica ReVault permette quindi di ottenere una persistenza post-compromissione estremamente difficile da rilevare e rimuovere, rappresentando una minaccia concreta per ambienti ad alto valore. Nonostante non siano stati rilevati attacchi attivi che sfruttano queste vulnerabilità, si consiglia vivamente agli utenti di aggiornare il firmware tramite le patch ufficiali di Dell, disabilitare i servizi ControlVault se non necessari e valutare la disattivazione del login tramite impronta digitale in scenari a rischio elevato.