Krytyczne podatności Dell Wyse pozwalają atakującym uzyskać zdalny dostęp do plików i poświadczeń

Co to jest terminal kliencki?

Terminal kliencki to inaczej cienki klient, czyli mały komputer o niewielkich rozmiarach, zoptymalizowany pod kątem wykonywania połączeń pulpitu zdalnego z odległym (i zwykle) bardziej wydajniejszym sprzętem (serwerem terminali). Są popularne wśród firm, które nie potrzebują komputerów z dużą mocą obliczeniową, pamięcią RAM, dyskiem. Połączone są w sieć komputerową jak zwykłe komputery.

Oprogramowanie używane przez cienkiego klienta jest bardzo ograniczone i ukierunkowane na zapewnienie bezproblemowego połączenia pulpitu zdalnego.

Czego dotyczą luki w zabezpieczeniach DELL Wyse?

Błędy dotyczą domyślnej konfiguracji systemu ThinOS i umożliwiają uzyskanie pełnego dostępu do jego plików. Dzięki temu atakujący mogą manipulować konfiguracją określonego cienkiego klienta i potencjalnie uzyskać dostęp do poufnych informacji na jego temat, całkowicie naruszając bezpieczeństwo systemu. Badacze bezpieczeństwa z CyberMDX, firmy zajmującej się cyberbezpieczeństwem w sektorze opieki zdrowotnej odkryli, że możliwy jest dostęp do FTP bez poświadczeń, przy użyciu „anonimowego” użytkownika. Badacze odkryli również, że podpisane jest tylko oprogramowanie sprzętowe i pakiety, pozostawiając pliki konfiguracyjne INI jako możliwą drogę do wyrządzenia szkód przez złośliwego aktora. Elad Luz, szef działu badań w CyberMDX, mówi, że na serwerze FTP znajduje się również określony plik INI, który powinien być zapisywalny dla łączących się klientów.

„Ponieważ nie ma poświadczeń, w zasadzie każdy w sieci może uzyskać dostęp do serwera FTP i modyfikować konfigurację przechowującą plik INI dla urządzeń typu cienki klient”

Ochrona połączenia FTP za pomocą poświadczeń nie wystarczyłaby w obecnym projekcie, mówi Luz, ponieważ nazwa użytkownika i hasło byłyby wspólne dla całej floty cienkich klientów.

Badacz wyjaśnia, że kiedy urządzenie Dell Wyse łączy się z serwerem FTP, szuka pliku INI, który zawiera jego konfigurację, nazwanego tak, jak nazwa użytkownika użyta w terminalu. Dzięki możliwości zapisu tego pliku osoba atakująca może umieścić złośliwą wersję w celu kontrolowania konfiguracji otrzymanej przez określonego użytkownika w sieci.

Jednym ze scenariuszy, w którym osoba atakująca może wykorzystać te luki, jest odczytanie lub zmodyfikowanie parametrów w pliku konfiguracyjnym, które zapewniłyby mu zdalną kontrolę nad urządzeniem. Wycieki danych uwierzytelniających lub manipulowanie wynikami DNS również znajdują się na liście zagrożeń, które mogą wynikać z wykorzystania tych dwóch błędów.

Luki w zabezpieczeniach otrzymały numery CVE-2020-29491 oraz CVE-2020-29492. Podatności zostały oznaczone przez firmę DELL jako „Krytyczne”.

Jaki modele Dell Wyse są podatne?

Według firmy CyberMDX nie wszystkie modele Dell Wyse są podatne na błędy. Dotyczą one następujących modeli z systemem ThinOS 8.6 i starszym:

Jak sobie poradzić z problemem?

Firma Dell zaleca, aby wykonać tę procedurę, w celu poprawnego skonfigurowania serwera FTP dla urządzeń do pobierania aktualizacji (oprogramowania sprzętowego, pakietów, konfiguracji).

Firma Dell zaleca również klientom:

• Zabezpieczenie środowiska serwera plików podczas korzystania Dell Wyse ThinOS 8.6 – zagrożeni klienci z ThinOS 8.6 mogą zabezpieczyć swoje środowisko, aktualizując swoje serwery plików do korzystania z bezpiecznego protokołu (HTTPS zamiast HTTP lub FTP) i upewniając się, że serwery plików mają ustawiony dostęp tylko do odczytu.
• Wdrożyć pakietu Dell Wyse Management Suite – podatni klienci z ThinOS 8.6 mogą używać pakietu Wyse Management Suite zamiast serwera plików do tworzenia obrazów i konfiguracji urządzeń. Komunikacja Wyse Management Suite wymusza protokół HTTPS, a wszystkie konfiguracje są przechowywane w bezpiecznej bazie danych serwera zamiast w edytowalnych plikach konfiguracyjnych.
• Wdrożyć pakiet Dell Wyse Management Suite z ThinOS 9 – oprócz wdrożenia pakietu Wyse Management Suite, użytkownicy/firmy mogą bezpłatnie zaktualizować swój system operacyjny do wersji ThinOS 9. ThinOS 9 nie obsługuje konfiguracji serwera plików, dlatego odkryty exploit nie dotyczy klientów Wyse z systemem ThinOS 9.