To kritiske sårbarheder (CVE-2020-29491 og CVE-2020-29492) med CVSS score på 10 blev opdaget i specifikke Dell Wyse denne klientenheder. Sårbarhederne kunne udnyttes i angreb på fjernudførelse af kode for at få adgang til filer på kompromitterede enheder, og blev rapporteret af CyberMDX-forskere.
Hvad er en Dell Wyse tynd klientenhed? Det er en lille faktor computer, der håndterer eksterne desktopforbindelser til andre ressourcer. Disse enheder bruges af ca. 6,000 organisationer i USA, hovedsagelig i sundhedssektoren.
Dell Wyse ThinOS indeholder kritiske sårbarheder
Ifølge Dells officielle rådgivning, “Dell Wyse ThinOS 8.6 MR8 indeholder afhjælpning af usikre standardkonfigurationssårbarheder, der potentielt kan udnyttes til at få adgang til en skrivbar fil, der kan bruges til at manipulere konfigurationen af en bestemt tynd klient og potentielt få adgang til følsomme oplysninger, der fører til kompromis mellem tynde klienter. ”
ThinOS-operativsystemet modtager systemopdateringer via en lokal FTP-server. Ifølge forskerne, denne FTP-server er konfigureret til ikke at have legitimationsoplysninger. Hvad betyder manglen på legitimationsoplysninger? “Da der ikke er nogen legitimationsoplysninger, stort set alle på netværket kan få adgang til FTP-serveren og ændre den INI-fil, der indeholder konfiguration til tynde klientenheder,” CyberMDX har fundet.
“Hvis denne INI-fil findes, det indlæser konfigurationen fra det,” rapporten forklarer. “Denne fil kan skrives, så det kan oprettes og manipuleres af en angriber til at kontrollere konfigurationen modtaget af en bestemt bruger.” Denne betingelse skaber to sårbarheder i Dell Wyse-enhederne.
CVE-2020-29491 og CVE-2020-29492
CVE-2020-29491 sårbarheden, beskrevet som en standardkonfigurationsfejl er placeret i enheder, der kører ThinOS-versioner 8.6 eller tidligere. Trusselsaktører kan udnytte den til at få adgang til det lokale netværks information, hvilket fører til yderligere kompromis med påvirkede enheder.
CVE-2020-29492 findes i samme version af operativsystemet, og er igen relateret til usikker standardkonfiguration. En fjern uautentiseret angriber kunne udnytte fejlen for yderligere at få adgang til den skrivbare fil og manipulere konfigurationen af enhver målspecifik station.
Brugere af enhederne skal opdatere til den nyeste version af ThisOS - 9.x. Hvis din organisation kører en enhed, der ikke kan opdatere til den nyeste version, du skal deaktivere FTP-serveren for at undgå angreb. Også, overvej at bruge HTTPS og sørg for, at filserverne har skrivebeskyttet adgang.
I maj 2019, sikkerhedsforskere rapporterede om en farlig RCE-sårbarhed i Dells SupportAssist Client-software. Fejlen kan tillade fjernkørsel-godkendte angribere på samme Network Access lag at udføre vilkårlig kode på sårbare Dell-maskiner.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: