近日,Cyber??MDX研究人员披露了今年6月在戴尔Wyse瘦客户端中发现的两个安全漏洞。漏洞CVE编号为CVE-2020-29491和CVE-2020-29492,这两个漏洞的CVSS评分均为10,漏洞影响所有运行ThinOSv8.6及更早版本的设备。利用这两个漏洞的攻击者可以在受影响的设备上远程运行恶意代码并访问受害者设备上的任意文件。DellWyseThinClientsWyse自1990年代以来一直在开发客户端,并于2012年被戴尔收购。仅在美国,只有大约6,000家企业和单位使用DellWyse瘦客户端,其中包括医疗保健服务提供商。瘦客户端使用的软件最少,旨在提供无缝的远程连接体验。瘦客户机具有许多优势,包括:·无需携带标准PC或服务器通常需要的高处理、存储和内存资源;·简化和集中维护;·更低的功耗和更低的成本。·易受攻击的组件受影响的DellWyse客户端运行ThinOs操作系统。ThinO可以远程维护。默认情况下,它通过本地FTP服务器执行。设备可以通过本地FTP服务器检索新的固件、软件包和配置文件数据。虽然也可以远程维护这些客户端,但是这种方式很流行,也是戴尔推荐的维护方式。漏洞概述戴尔建议使用MicrosoftIIS创建FTP服务器,然后通过FTP服务器访问固件、软件包和INI文件。FTP服务器配置为匿名用户不需要凭据。虽然将对FTP服务器上的固件和包进行签名,但不会对用于配置的INI文件进行签名。此外,FTP服务器上没有特定的INI文件。由于不需要凭据,网络上的任何人都可以访问FTP服务器并修改瘦客户端设备的配置数据——INI文件。此外,即使设置了凭据,也可以在不同的客户端组之间共享凭据,从而允许彼此修改INI配置文件。当DellWyse设备连接到FTP服务器时,它会搜索格式为“{username}.ini”的INI文件,其中{username}是终端的用户名。如果INI文件存在,则从中加载配置文件。由于此文件是可见的,因此攻击者可以创建和编辑此文件以控制特定用户接收哪些配置。瘦客户端是运行存储在中央服务器而不是本地硬盘驱动器上的资源的计算机。其工作原理是与服务器建立远程连接,启动并运行应用程序,并保存相关数据。CVE-2020-29491和CVE-2020-29492漏洞的根本原因是用于获取固件配置的FTP会话和本地服务器上的配置没有受到保护,因此同一网络的攻击者可以读取和修改其配置数据。CVE-2020-29491漏洞允许攻击者访问服务器并读取属于其他客户端的配置ini文件。CVE-2020-29492漏洞是因为不需要FTP凭据,所以网络上的任何人都可以访问FTP服务器,直接修改保存配置数据的ini文件。此外,配置文件可能包含敏感信息,例如密码和帐户信息,攻击者可以使用这些信息来破坏设备。修复建议考虑到该漏洞极易被利用,研究人员建议用户尽快安装补丁。此外,研究人员还为用户移除了INI文件管理功能。如果无法升级,您可以禁用FTP获取文件,使用HTTPS服务器或WyseManagementSuite获取新固件。有关详细信息,请参阅:https://www.cybermdx.com/vulnerability-research-disclosures/dell-wyse-thin-client-vulnerability。本文翻译自:https://thehackernews.com/2020/12/two-critical-flaws-cvss-score-10-affect.html如有转载请注明原文地址。
