V operačnom systéme ThinOS tenkých klientov Dell Wyse sa vyskytujú 2 kritické zraniteľnosti

7. januára 2021

V operačnom systéme ThinOS na zariadeniach Dell Wyse sa vyskytujú dve kritické zraniteľnosti, ktoré môžu viesť k vzdialenému vykonávaniu škodlivého kódu, prípadne k získaniu neoprávneného prístupu k ľubovoľným súborom. Zneužitím prvej zraniteľnosti je útočník schopný pristúpiť ku konfiguráciám. Druhá kritická chyba umožňuje nielen čítanie, ale aj zápis do konfiguračných súborov bez autentifikácie.

Dôsledky

Kompromitácia zraniteľného zariadenia
Vykonávanie ľubovoľného kódu
Získanie prístupu k ľubovoľným súborom

Opis činnosti
CVE-2020-29491, CVE-2020-29492

Zraniteľnosti sa nachádzajú v operačnom systéme ThinOS v niekoľkých modeloch tenkých klientov Dell Wyse. Tieto zariadenia sa používajú na pripojenie pomocou vzdialenej pracovnej plochy k výkonnejším zariadeniam. Chyby vo všeobecnosti umožňujú vzdialenému útočníkovi spúšťať škodlivý kód, prípadne získať prístup k ľubovoľným súborom.

Chyby boli nájdené skupinou CyberMDX, ktorá sa venuje kybernetickej bezpečnosti v oblasti zdravotníctva. Zistili, že FTP server používaný zariadeniami Wyse je v sieti prístupný bez použitia prihlasovacích údajov.

CVE-2020-29491 súvisí s tým, že zariadenia pravidelne posielajú ping na FTP server, aby mohli stiahnuť najnovšie aktualizácie. Konfigurácie (súbory .ini) pre všetkých klientov sa nachádzajú na vzdialenom serveri, ktorý je prístupný na čítanie pre všetkých v sieti. Útočník by mohol pristúpiť k týmto súborom a ohroziť tak zariadenie, pretože tieto konfiguračné súbory môžu napríklad obsahovať prihlasovacie údaje pre rôzne metódy vzdialeného prístupu.

Druhá zraniteľnosť CVE-2020-29492 existuje, pretože server, na ktorom sú tieto konfigurácie uložené, umožňuje nielen čítanie, ale aj zápis do konfiguračných súborov. Vzhľadom k tomu, že štandardne nie sú potrebné žiadne prihlasovacie údaje na FTP server, ktokoľvek v sieti má prístup na server a môže priamo meniť konfiguračné súbory iných klientov.

CyberMDX tvrdí, že zraniteľné sú ThinOS verzie 8.6 a nižšie. Spoločnosť Dell vydala novú verziu 9.x. Avšak niektoré z dotknutých modelov nie je možné aktualizovať, a to Wyse 3020, Wyse 3030 LT, Wyse 5010, Wyse 5040 AIO, Wyse 5060 a Wyse 7010. Je odporúčané, aby organizácie, ktoré využívajú tieto modely zakázali použitie FTP a aktualizovali zariadenia napríklad cez HTTPS alebo cez Wyse Management Suite.

Zraniteľné systémy

ThinOS verzie 8.6 a staršie

Závažnosť zraniteľnosti
Vysoká

Možné škody
Únik informácií
Vzdialené vykonávanie kódu

Odporúčania
Odporúčame bezodkladnú aktualizáciu operačného systému ThinOS na najnovšiu verziu. V prípade, že konkrétny model nie je možné aktualizovať, odporúča sa zakázať používanie FTP servera a aktualizovať operačný systém cez HTTPS server alebo cez Wyse Management Suite.

Odkazy
https://www.dell.com/support/kbdoc/000180768/dsa-2020-281
https://www.bleepingcomputer.com/news/security/critical-bugs-in-dell-wyse-thinos-allow-thin-client-take-over/
https://threatpost.com/critical-bugs-dell-wyse-thin-clients/162452/
https://thehackernews.com/2020/12/two-critical-flaws-cvss-score-10-affect.html
https://www.securityweek.com/critical-vulnerabilities-expose-dell-wyse-thin-client-devices-attacks