V operačnom systéme ThinOS tenkých klientov Dell Wyse sa vyskytujú 2 kritické zraniteľnosti

V operačnom systéme ThinOS na zariadeniach Dell Wyse sa vyskytujú dve kritické zraniteľnosti, ktoré môžu viesť k vzdialenému vykonávaniu škodlivého kódu, prípadne k získaniu neoprávneného prístupu k ľubovoľným súborom. Zneužitím prvej zraniteľnosti je útočník schopný pristúpiť ku konfiguráciám. Druhá kritická chyba umožňuje nielen čítanie, ale aj zápis do konfiguračných súborov bez autentifikácie.

Dôsledky

  • Kompromitácia zraniteľného zariadenia
  • Vykonávanie ľubovoľného kódu
  • Získanie prístupu k ľubovoľným súborom

Opis činnosti
CVE-2020-29491, CVE-2020-29492

Zraniteľnosti sa nachádzajú v operačnom systéme ThinOS v niekoľkých modeloch tenkých klientov Dell Wyse. Tieto zariadenia sa používajú na pripojenie pomocou vzdialenej pracovnej plochy k výkonnejším zariadeniam. Chyby vo všeobecnosti umožňujú vzdialenému útočníkovi spúšťať škodlivý kód, prípadne získať prístup k ľubovoľným súborom.

Chyby boli nájdené skupinou CyberMDX, ktorá sa venuje kybernetickej bezpečnosti v oblasti zdravotníctva. Zistili, že FTP server používaný zariadeniami Wyse je v sieti prístupný bez použitia prihlasovacích údajov.

CVE-2020-29491 súvisí s tým, že zariadenia pravidelne posielajú ping na FTP server, aby mohli stiahnuť najnovšie aktualizácie. Konfigurácie (súbory .ini) pre všetkých klientov sa nachádzajú na vzdialenom serveri, ktorý je prístupný na čítanie pre všetkých v sieti. Útočník by mohol pristúpiť k týmto súborom a ohroziť tak zariadenie, pretože tieto konfiguračné súbory môžu napríklad obsahovať prihlasovacie údaje pre rôzne metódy vzdialeného prístupu.

Druhá zraniteľnosť CVE-2020-29492 existuje, pretože server, na ktorom sú tieto konfigurácie uložené, umožňuje nielen čítanie, ale aj zápis do konfiguračných súborov. Vzhľadom k tomu, že štandardne nie sú potrebné žiadne prihlasovacie údaje na FTP server, ktokoľvek v sieti má prístup na server a môže priamo meniť konfiguračné súbory iných klientov.

CyberMDX tvrdí, že zraniteľné sú ThinOS verzie 8.6 a nižšie. Spoločnosť Dell vydala novú verziu 9.x. Avšak niektoré z dotknutých modelov nie je možné aktualizovať, a to Wyse 3020, Wyse 3030 LT, Wyse 5010, Wyse 5040 AIO, Wyse 5060 a Wyse 7010. Je odporúčané, aby organizácie, ktoré využívajú tieto modely zakázali použitie FTP a aktualizovali zariadenia napríklad cez HTTPS alebo cez Wyse Management Suite.

Zraniteľné systémy

  • ThinOS verzie 8.6 a staršie

Závažnosť zraniteľnosti
Vysoká

Možné škody
Únik informácií
Vzdialené vykonávanie kódu

Odporúčania
Odporúčame bezodkladnú aktualizáciu operačného systému ThinOS na najnovšiu verziu. V prípade, že konkrétny model nie je možné aktualizovať, odporúča sa zakázať používanie FTP servera a aktualizovať operačný systém cez HTTPS server alebo cez Wyse Management Suite.

Odkazy
https://www.dell.com/support/kbdoc/000180768/dsa-2020-281
https://www.bleepingcomputer.com/news/security/critical-bugs-in-dell-wyse-thinos-allow-thin-client-take-over/
https://threatpost.com/critical-bugs-dell-wyse-thin-clients/162452/
https://thehackernews.com/2020/12/two-critical-flaws-cvss-score-10-affect.html
https://www.securityweek.com/critical-vulnerabilities-expose-dell-wyse-thin-client-devices-attacks