Falhas críticas colocam dispositivos Dell Wyse Thin Client em risco

Falhas críticas colocam dispositivos Dell Wyse Thin Client em risco. Vulnerabilidades podem permitir execução remota de código e acesso a arquivos.

Os pesquisadores da empresa de segurança CyberMDX descobriram duas vulnerabilidades significativas em alguns dispositivos thin client Dell Wyse que, se explorados, podem permitir que os agentes de ameaças executem remotamente códigos maliciosos e acessem arquivos nos dispositivos afetados.

O impacto potencial dessas vulnerabilidades, juntamente com a relativa facilidade de exploração, levou cada um a receber pontuações CVSS de 10 – o mais crítico.

Esses thin clients – pequenos computadores otimizados para lidar com uma conexão de desktop remoto com outros recursos – são usados ​​por cerca de 6.000 organizações nos Estados Unidos e em milhares de outras ao redor do mundo.

As vulnerabilidades, que são rastreadas como CVE-2020-29491 e CVE-2020-29492 , foram descobertas por pesquisadores do CyberMDX e trazidas à atenção da Dell no início deste mês. No dia 21 de dezembro, a Dell lançou um comunicado e atualizações para ajudar a mitigar as duas vulnerabilidades e atualizar os sistemas operacionais usados ​​por esses dispositivos.

Oliver Tavakoli, CTO da empresa de segurança Vectra, disse ao BankInfo Security  que as atualizações devem ser aplicadas imediatamente porque as duas vulnerabilidades podem ser facilmente exploradas. “Tudo que você precisa é de um editor de texto e pode habilitar coisas como computação de rede virtual para o thin client“, diz Tavakoli. “As pontuações de gravidade são o que eu esperaria de uma vulnerabilidade que um aluno do ensino médio deveria ser capaz de explorar sem ter que recorrer a ferramentas de ataque.

Dispositivos afetados

As duas vulnerabilidades são encontradas em várias versões de dispositivos thin client Dell Wyse (lista abaixo) que executam um sistema operacional leve chamado ThinOs, de acordo com um relatório da CyberMDX. O sistema operacional recebe atualizações do sistema, como novas instalações de firmware e outras configurações, por meio de um servidor FTP local, afirma o relatório.

Os pesquisadores descobriram que o servidor FTP usado para se conectar aos sistemas operacionais está configurado para não ter credenciais. E embora os arquivos de firmware e pacote encontrados no servidor FTP sejam assinados digitalmente, os arquivos INI, que são usados ​​para armazenar as configurações, não são, de acordo com o relatório. “Como não há credenciais, basicamente qualquer pessoa na rede pode acessar o servidor FTP e modificar a configuração do arquivo INI para os dispositivos thin client”, afirma o relatório.

Sempre que um dispositivo Dell Wyse se conecta ao servidor FTP, o dispositivo procura o arquivo INI, que é exibido como o nome de usuário no dispositivo. “Se esse arquivo INI existe, ele carrega a configuração dele”, dizem os pesquisadores. “Este arquivo é gravável, portanto, pode ser criado e manipulado por um invasor para controlar a configuração recebida por um usuário específico.

Isso abre os thin clients Dell Wyse para as duas vulnerabilidades.

Duas falhas descritas

O primeiro bug, CVE-2020-29491, encontrado nos thin clients Dell Wyse executando as versões 8.6 ou anteriores do ThinOS, contém uma falha de configuração padrão insegura. Um invasor pode explorar esta vulnerabilidade para obter acesso às informações na rede local, levando ao comprometimento dos thin clients afetados, de acordo com o relatório.

A segunda falha, CVE-2020-29492, é encontrada nas mesmas versões do ThinOS. Ele contém uma vulnerabilidade de configuração padrão insegura. Um invasor remoto não autenticado pode explorar esta vulnerabilidade para acessar o arquivo gravável e manipular a configuração de qualquer estação de destino específico, afirma o relatório.

Pesquisadores da CyberMDX e Dell estão pedindo aos usuários que atualizem para o ThinOS 9.x. Para usuários que executam dispositivos thin client que não podem atualizar para a versão mais recente, ambas as empresas recomendam desativar o servidor FTP que fornece atualizações para o sistema operacional.

A Dell também recomenda proteger o ambiente usando um protocolo seguro, como HTTPS, e garantindo que os servidores de arquivos tenham acesso somente leitura.

Mitigações e recomendações

Atualize para ThinOS 9.x

Sempre que possível (dependendo do modelo, consulte a tabela abaixo) atualize seu firmware Thin Client para ThinOS versão 9.x que removerá o recurso de gerenciamento de arquivo INI.

Modelo Compatibilidade
ThinOS Versão 8.x ThinOS Versão 9.x
Wyse 3020 sim
Wyse 3030 LT sim
Wyse 3040 sim sim
Wyse 5010 sim
Wyse 5040 AIO sim
Wyse 5060 sim
Wyse 5070 sim sim
Wyse 5070 Extended sim sim
Wyse 5470 sim sim
Wyse 5470 AIO sim sim
Wyse 7010 sim

Se o seu dispositivo não puder ser atualizado para ThinOS 9.x

Se o seu dispositivo não puder ser atualizado para ThinOS 9.x, é recomendado que você desative o uso de FTP para obter os arquivos vulneráveis.

Na área de trabalho do cliente ThinOS

Navegue até Configuração do sistema> Configuração central> Geral.

Remova todas as configurações de FTP presentes. Onde o gerenciamento remoto for necessário, use outros métodos – servidor https ou Wyse Management Suite. Informações sobre como configurá-los podem ser encontradas online no site da Dell.

Em seu servidor DHCP

Dell Wyse usa tags de opção DHCP 161 e 162 para configurar o cliente ThinOS, servidor de arquivos e informações de caminho. Certifique-se de que seu servidor DHCP não os reconfigure de volta ao servidor FTP a cada interação DHCP.

 

Possíveis cenários de ataque

Os arquivos INI contêm uma longa lista de parâmetros configuráveis ​​detalhados em mais de 100 páginas pela documentação ofical da Dell.

Ler ou alterar esses parâmetros abre a porta para uma variedade de cenários de ataque. Configurar e habilitar o VNC para controle remoto total, vazamento de credenciais de desktop remoto e manipulação de resultados de DNS são alguns dos cenários que você deve conhecer.

 

Versões afetadas

Modelo Versões Afetadas
Wyse 3020 All versions up to ThinOS 8.6 (currently the latest)
Wyse 3030 LT All versions up to ThinOS 8.6 (currently the latest)
Wyse 3040 All versions up to ThinOS 8.6
Wyse 5010 All versions up to ThinOS 8.6 (currently the latest)
Wyse 5040 AIO All versions up to ThinOS 8.6 (currently the latest)
Wyse 5060 All versions up to ThinOS 8.6 (currently the latest)
Wyse 5070 All versions up to ThinOS 8.6
Wyse 5070 Extended All versions up to ThinOS 8.6
Wyse 5470 All versions up to ThinOS 8.6
Wyse 5470 AIO All versions up to ThinOS 8.6
Wyse 7010 All versions up to ThinOS 8.6 (currently the latest)

 

Fonte: BankInfo Security & CyberMDX

 

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!