近日,CyberMDX 科学研究工作人员公布了2022年6月在Dell Wyse Thin手机客户端中看到了2个安全性漏洞,漏洞CVE序号为CVE-2020-29491 和 CVE-2020-29492,这两个漏洞CVSS 得分都为10分,漏洞危害运作ThinOS v8.6及更低版的全部设备。网络攻击利用这两个漏洞可以在受影响的设备上远程控制运作恶意程序和浏览受害人设备上的随机文档。
Dell Wyse Thin Clients
Wyse从90时代逐渐产品研发手机客户端,于2012年被Dell回收。仅在国外仅大约6000家公司和企业应用Dell Wyse thin clients,在其中就包括健康医疗服务提供商。Thin Clients应用的手机软件不大,致力于给予无缝拼接的远程桌面连接感受。Thin clients引入了许多的优点,包含:
· 不用带上规范PC或网络服务器通常必须的高解决、储存和运行内存資源;
· 简单化和集中化维护保养;
· 降低功耗,控制成本。
· 有漏洞的部件
受影响的Dell Wyse客户端运作的是ThinOs 电脑操作系统。ThinOs可以被远程控制维护保养,默认设置是根据当地FTP 网络服务器来实施的,设备可以根据当地FTP服务器取回来新固定件、包和环境变量数据信息。尽管还可以远程控制维护保养这种手机客户端,可是这个形式是特别时髦的,也是Dell强烈推荐的维护保养方法。
漏洞简述
Dell 提议应用Microsoft IIS来建立FTP 网络服务器,随后根据FTP 网络服务器来浏览固定件、包和INI文档。FTP 网络服务器被配备为匿名用户不用凭据。当FTP服务器上的固定件和包会被签字,而用以配备的INI 文档不容易被签字。
除此之外,在FTP 网络服务器上沒有特殊的INI 文档。因为不用凭据,因此互联网上的所有人都能够浏览FTP 网络服务器,改动thin手机客户端设备的配备数据信息——INI文档。
除此之外,即使设定了凭据,凭证也有可能会在不一样的手机客户端组中间共享资源,容许相互之间改动INI环境变量。
当Dell Wyse 设备联接到FTP服务器时,会检索“{username}.ini”方式的INI文档,在其中{username}是终端设备的登录名。
假如INI文档存有,就从这当中载入环境变量。因为该文件是看得见的,因此网络攻击就可以建立和编写该文件来操纵特殊客户接受的配备。
Thin clients是一个运作储存在核心网络服务器上的自然资源而不是当地电脑硬盘上的电子计算机。其基本工作原理是构建一个云服务器的远程桌面连接,运行和运作运用,并储存有关的数据信息。
CVE-2020-29491 和 CVE-2020-29492漏洞造成的直接原因是用于获得固定件配备的FTP对话和本地服务器上的配备是沒有遭受维护的,因而坐落于同样互联网内的网络攻击就可以载入和改动其配备数据信息。
CVE-2020-29491漏洞促使网络攻击可以浏览网络服务器,并载入归属于别的手机客户端的配备ini文件。CVE-2020-29492 漏洞是因为不用FTP凭据,因而互联网上的所有人都能够浏览FTP服务器,并立即改动储存配备数据信息的ini文件。
除此之外,环境变量中有可能带有比较敏感信息内容,例如登陆密码和账户信息,网络攻击利用这种消息可以侵入设备。
修补提议
充分考虑漏洞是容易被利用的,科学研究工作人员提议客户尽早安裝补丁包。除此之外,科学研究工作人员还今已客户清除INI 文档管理特点。假如没法更新,可以禁止使用FTP来获得文档,应用HTTPS网络服务器或Wyse管理方法模块来获得新固定件。
大量关键点参照:https://www.cybermdx.com/vulnerability-research-disclosures/dell-wyse-thin-client-vulnerability。
文中翻譯自:https://thehackernews.com/2020/12/two-critical-flaws-cvss-score-10-affect.html倘若转截,请标明全文详细地址。