Badacze bezpieczeństwa z CyberMDX odkryli krytyczne błędy w kodzie kilkunastu modeli terminali klienckich Dell Wyse. Podatności mogą zostać wykorzystane przez atakującego do zdalnego uruchomienia złośliwego kodu i uzyskania dostępu do dowolnych plików znajdujących się na urządzeniu.
Szacuje się, że ponad 6000 organizacji, w większości z sektora opieki zdrowotnej, ale też spośród instytucji finansowych, wdrożyło w swoich sieciach terminale klienckie Dell Wyse.
Co to jest terminal kliencki?
Terminal kliencki to inaczej cienki klient, czyli mały komputer o niewielkich rozmiarach, zoptymalizowany pod kątem wykonywania połączeń pulpitu zdalnego z odległym (i zwykle) bardziej wydajniejszym sprzętem (serwerem terminali). Są popularne wśród firm, które nie potrzebują komputerów z dużą mocą obliczeniową, pamięcią RAM, dyskiem. Połączone są w sieć komputerową jak zwykłe komputery.
Oprogramowanie używane przez cienkiego klienta jest bardzo ograniczone i ukierunkowane na zapewnienie bezproblemowego połączenia pulpitu zdalnego.
Czego dotyczą luki w zabezpieczeniach DELL Wyse?
Błędy dotyczą domyślnej konfiguracji systemu ThinOS i umożliwiają uzyskanie pełnego dostępu do jego plików. Dzięki temu atakujący mogą manipulować konfiguracją określonego cienkiego klienta i potencjalnie uzyskać dostęp do poufnych informacji na jego temat, całkowicie naruszając bezpieczeństwo systemu.
Badacze bezpieczeństwa z CyberMDX, firmy zajmującej się cyberbezpieczeństwem w sektorze opieki zdrowotnej odkryli, że możliwy jest dostęp do FTP bez poświadczeń, przy użyciu „anonimowego” użytkownika.
Badacze odkryli również, że podpisane jest tylko oprogramowanie sprzętowe i pakiety, pozostawiając pliki konfiguracyjne INI jako możliwą drogę do wyrządzenia szkód przez złośliwego aktora.
Elad Luz, szef działu badań w CyberMDX, mówi, że na serwerze FTP znajduje się również określony plik INI, który powinien być zapisywalny dla łączących się klientów.
„Ponieważ nie ma poświadczeń, w zasadzie każdy w sieci może uzyskać dostęp do serwera FTP i modyfikować konfigurację przechowującą plik INI dla urządzeń typu cienki klient”
Ochrona połączenia FTP za pomocą poświadczeń nie wystarczyłaby w obecnym projekcie, mówi Luz, ponieważ nazwa użytkownika i hasło byłyby wspólne dla całej floty cienkich klientów.
Badacz wyjaśnia, że kiedy urządzenie Dell Wyse łączy się z serwerem FTP, szuka pliku INI, który zawiera jego konfigurację, nazwanego tak, jak nazwa użytkownika użyta w terminalu.
Dzięki możliwości zapisu tego pliku osoba atakująca może umieścić złośliwą wersję w celu kontrolowania konfiguracji otrzymanej przez określonego użytkownika w sieci.
Jednym ze scenariuszy, w którym osoba atakująca może wykorzystać te luki, jest odczytanie lub zmodyfikowanie parametrów w pliku konfiguracyjnym, które zapewniłyby mu zdalną kontrolę nad urządzeniem. Wycieki danych uwierzytelniających lub manipulowanie wynikami DNS również znajdują się na liście zagrożeń, które mogą wynikać z wykorzystania tych dwóch błędów.
Luki w zabezpieczeniach otrzymały numery CVE-2020-29491 oraz CVE-2020-29492. Podatności zostały oznaczone przez firmę DELL jako „Krytyczne”.
Jaki modele Dell Wyse są podatne?
Według firmy CyberMDX nie wszystkie modele Dell Wyse są podatne na błędy. Dotyczą one następujących modeli z systemem ThinOS 8.6 i starszym:
Jak sobie poradzić z problemem?
Firma Dell zaleca, aby wykonać tę procedurę, w celu poprawnego skonfigurowania serwera FTP dla urządzeń do pobierania aktualizacji (oprogramowania sprzętowego, pakietów, konfiguracji).
Firma Dell zaleca również klientom:
- Zabezpieczenie środowiska serwera plików podczas korzystania Dell Wyse ThinOS 8.6 – zagrożeni klienci z ThinOS 8.6 mogą zabezpieczyć swoje środowisko, aktualizując swoje serwery plików do korzystania z bezpiecznego protokołu (HTTPS zamiast HTTP lub FTP) i upewniając się, że serwery plików mają ustawiony dostęp tylko do odczytu.
- Wdrożyć pakietu Dell Wyse Management Suite – podatni klienci z ThinOS 8.6 mogą używać pakietu Wyse Management Suite zamiast serwera plików do tworzenia obrazów i konfiguracji urządzeń. Komunikacja Wyse Management Suite wymusza protokół HTTPS, a wszystkie konfiguracje są przechowywane w bezpiecznej bazie danych serwera zamiast w edytowalnych plikach konfiguracyjnych.
- Wdrożyć pakiet Dell Wyse Management Suite z ThinOS 9 – oprócz wdrożenia pakietu Wyse Management Suite, użytkownicy/firmy mogą bezpłatnie zaktualizować swój system operacyjny do wersji ThinOS 9. ThinOS 9 nie obsługuje konfiguracji serwera plików, dlatego odkryty exploit nie dotyczy klientów Wyse z systemem ThinOS 9.