Σχεδόν δώδεκα μοντέλα thin client της Dell Wyse είναι ευάλωτα σε κρίσιμα ζητήματα που θα μπορούσαν να αξιοποιηθούν από έναν χάκερ για να εκτελέσει κακόβουλο κώδικα και να αποκτήσει πρόσβαση σε αυθαίρετα αρχεία.
Οι thin clients είναι υπολογιστές μικρού μεγέθους που χρησιμοποιούνται για συνδέσεις remote desktop σε ένα πιο ισχυρό σύστημα. Είναι δημοφιλείς σε οργανισμούς που δεν χρειάζονται υπολογιστές με υψηλή επεξεργαστική ισχύ, αποθήκευση και μνήμη στο δίκτυο.
Εκτιμάται ότι περισσότεροι από 6.000 οργανισμοί, οι περισσότεροι από τους οποίους από τον τομέα της υγείας, έχουν χρησιμοποιήσει τα thin clients της Dell Wyse στα δίκτυα τους.
Τα τρωτά σημεία (αναφέρονται ως CVE-2020-29492 και CVE-2020-29491) βρίσκονται σε components του ThinOS, του λειτουργικού συστήματος για τους thin clients της Dell Wyse.
Το ThinOS μπορεί να υποστηριχθεί από απόσταση. Η πρόταση της Dell για αυτήν τη διαδικασία είναι να ρυθμίσετε έναν server FTP για συσκευές για να λαμβάνουν τα updates (firmware, packages, configurations).
Οι ερευνητές ασφάλειας στο CyberMDX, μια εταιρεία που επικεντρώνεται στην ασφάλεια στον κυβερνοχώρο στον τομέα της υγειονομικής περίθαλψης, διαπίστωσαν ότι η πρόσβαση FTP είναι δυνατή χωρίς credentials, χρησιμοποιώντας έναν “ανώνυμο” χρήστη.
Ανακάλυψαν επίσης ότι μόνο το firmware και τα packages είναι υπογεγραμμένα, αφήνοντας τα configuration files INI σαν ένα πιθανό τρόπο για να χρησιμοποιηθεί από έναν χάκερ για να κάνει κάποια ζημιά.
Ο Elad Luz επικεφαλής της έρευνας στο CyberMDX, λέει ότι υπάρχει ένα συγκεκριμένο αρχείο INI στον server FTP που πρέπει να είναι εγγράψιμο για τους συνδεόμενους clients.
Η προστασία της σύνδεσης FTP με credentials δεν θα ήταν αρκετή, λέει ο Luz, επειδή το όνομα χρήστη και ο κωδικός πρόσβασης θα κοινοποιηθούν σε όλους τους thin clients.
Ο ερευνητής εξηγεί ότι όταν μια συσκευή Dell Wyse συνδέεται με τον server FTP, αναζητά το αρχείο INI που διατηρεί το configuration του και το όνομα του από το όνομα χρήστη που χρησιμοποιείται στο terminal.
Με αυτό το αρχείο να είναι εγγράψιμο, ένας εισβολέας μπορεί να εγκαταστήσει μια κακόβουλη έκδοση για να ελέγξει το configuration που λαμβάνει ένας συγκεκριμένος χρήστης στο δίκτυο.
Σύμφωνα με το CyberMDX, αυτές οι ευπάθειες επηρεάζουν τα ακόλουθα μοντέλα Dell Wyse που χρησιμοποιούν ThinOS 8.6 και κάτω:
Η Dell κυκλοφόρησε το ThinOS 9.x για να αντιμετωπίσει αυτά τα ζητήματα. Ωστόσο, ορισμένα από τα μοντέλα που επηρεάζονται δεν μπορούν πλέον να αναβαθμιστούν:
- Wyse 3020
- Wyse 3030 LT
- Wyse 5010
- Wyse 5040 AIO
- Wyse 5060
- Wyse 7010
Το CyberMDX συνιστά στους οργανισμούς με τα παραπάνω μοντέλα που αναπτύσσονται στα δίκτυά τους να απενεργοποιήσουν τη χρήση του FTP για τη διαδικασία ενημέρωσης και να βασίζονται σε μια εναλλακτική μέθοδο για το task.
Στο security advisory της, η Dell συνιστά την προστασία του περιβάλλοντος χρησιμοποιώντας ένα ασφαλές πρωτόκολλο (HTTPS) και διασφαλίζοντας ότι οι file servers έχουν πρόσβαση read-only.
Επιπλέον, οι πελάτες που επηρεάζονται μπορούν να χρησιμοποιήσουν το Wyse Management Suite για απεικόνιση και διαμόρφωση συσκευής, η οποία επιβάλλει τη χρήση HTTPS και αποθηκεύει τα configuration files σε μια ασφαλή server database.
Πηγή πληροφοριών: bleepingcomputer.com
