0
0
Esta página cobre duas vulnerabilidades descobertas pelo CyberMDX e publicadas pela Dell em 21 de dezembro de 2020 como CVE-2020-29491 e CVE-2020-29492. As vulnerabilidades afetam os dispositivos Dell Wyse Thin client e, uma vez exploradas, permitem que os invasores, entre outras coisas, executem remotamente códigos maliciosos e acessem arquivos arbitrários nos dispositivos afetados.
O profundo impacto potencial dessas vulnerabilidades, juntamente com a relativa facilidade de exploração, é o que as torna tão críticas. Essa criticidade é capturada nas pontuações de gravidade de ambas as vulnerabilidades – 10/10.
Todos os Dell Wyse Thin Clients afetados estão executando ThinOS versões 8.6 e abaixo:
Modelo | Versões afetadas |
| Wyse 3020 | Todas as versões até ThinOS 8.6 (atualmente a mais recente) |
| Wyse 3030 LT | Todas as versões até ThinOS 8.6 (atualmente a mais recente) |
| Wyse 3040 | Todas as versões até ThinOS 8.6 |
| Wyse 5010 | Todas as versões até ThinOS 8.6 (atualmente a mais recente) |
| Wyse 5040 AIO | Todas as versões até ThinOS 8.6 (atualmente a mais recente) |
| Wyse 5060 | Todas as versões até ThinOS 8.6 (atualmente a mais recente) |
| Wyse 5070 | Todas as versões até ThinOS 8.6 |
| Wyse 5070 Extended | Todas as versões até ThinOS 8.6 |
| Wyse 5470 | Todas as versões até ThinOS 8.6 |
| Wyse 5470 AIO | Todas as versões até ThinOS 8.6 |
| Wyse 7010 | Todas as versões até ThinOS 8.6 (atualmente a mais recente) |
CVE-2020-29491
| Nível de risco: | Uma pontuação máxima de gravidade de 10,0 foi atribuída a esta vulnerabilidade. A string de vetor CVSS é AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: H |
| Data relatada: | Junho de 2020 |
| Data do Aviso CISA: | 21 de dezembro de 2020 |
CVE-2020-29492
| Nível de risco: | Uma pontuação máxima de gravidade de 10,0 foi atribuída a esta vulnerabilidade. A string de vetor CVSS é AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: H |
| Data relatada: | Junho de 2020 |
| Data do Aviso CISA: | 21 de dezembro de 2020 |
Detalhes de vulnerabilidade
Dell Wyse Thin Clients
A Wyse desenvolve thin clients desde os anos 90 e foi adquirida pela Dell em 2012. Somente nos Estados Unidos, estima-se que cerca de 6.000 empresas e organizações estão usando frotas de thin client Dell Wyse em sua rede, incluindo muitos provedores de saúde.
O que são Thin Clients?
Um pequeno computador de fator de forma otimizado para realizar uma conexão de área de trabalho remota a um hardware distante (e geralmente) com mais recursos. O software usado pelo thin client é mínimo e direcionado para fazer uma experiência de conexão remota perfeita.
Os clientes finos apresentam várias vantagens, incluindo:
- Eliminando a necessidade de transportar os recursos de alto processamento, armazenamento e memória normalmente exigidos por PCs ou servidores padrão
- Simplificando e centralizando a manutenção
- Reduzindo o consumo de energia e diminuindo os custos
Componentes Vulneráveis
Manutenção remota ThinOs
Os clientes Dell Wyse afetados executam um sistema operacional denominado ThinOs. ThinOs podem ser mantidos remotamente, a forma padrão é realizada por meio de um servidor FTP local onde os dispositivos podem obter novos firmware, pacotes e configurações. Embora existam maneiras alternativas de manter esses clientes remotamente, descobrimos que essa forma é bastante popular e é o método recomendado pela Dell.
O servidor FTP
A Dell aconselha a criação de um servidor FTP usando o Microsoft IIS (sem orientação específica) e, a seguir, dando acesso a firmware, pacotes e arquivos INI acessíveis por meio do servidor FTP. O FTP está configurado para não ter credenciais (usuário “anônimo”). Enquanto os arquivos de firmware e pacote encontrados no servidor FTP são assinados, os arquivos INI usados para configuração não são.
Além disso, há um arquivo INI específico no servidor FTP que deve ser gravável para os clientes conectados (isso ocorre por design). Como não há credenciais, basicamente qualquer pessoa na rede pode acessar o servidor FTP e modificar a configuração do arquivo INI para os dispositivos thin client.
Além disso, mesmo se as credenciais fossem definidas, elas seriam compartilhadas por uma grande frota de clientes, permitindo que alterassem os arquivos de configuração INI uns dos outros.
{username} arquivo .ini
Quando um dispositivo Dell Wyse se conecta ao servidor FTP, ele procura um arquivo INI na forma de “{nome de usuário} .ini” onde {nome de usuário} é substituído pelo nome de usuário usado pelo terminal.
Se este arquivo INI existir, ele carrega a configuração dele. Conforme observado, esse arquivo é gravável, portanto, pode ser criado e manipulado por um invasor para controlar a configuração recebida por um usuário específico.
Mitigações e recomendações
Atualize para ThinOS 9.x
Sempre que possível (dependendo do modelo, consulte a tabela abaixo) atualize seu firmware Thin Client para ThinOS versão 9.x, que removerá o recurso de gerenciamento de arquivo INI.
| Modelo | Compatibilidade | |
| ThinOS Versão 8.x | ThinOS Versão 9.x | |
| Wyse 3020 | sim | – |
| Wyse 3030 LT | sim | – |
| Wyse 3040 | sim | sim |
| Wyse 5010 | sim | – |
| Wyse 5040 AIO | sim | – |
| Wyse 5060 | sim | – |
| Wyse 5070 | sim | sim |
| Wyse 5070 Extended | sim | sim |
| Wyse 5470 | sim | sim |
| Wyse 5470 AIO | sim | sim |
| Wyse 7010 | sim | – |
Se o seu dispositivo não puder ser atualizado para ThinOS 9.x
Se o seu dispositivo não puder ser atualizado para ThinOS 9.x, é recomendado que você desative o uso de FTP para obter os arquivos vulneráveis.
Na área de trabalho do cliente ThinOS
Navegue até Configuração do sistema> Configuração central> Geral.
Remova todas as configurações de FTP presentes. Onde o gerenciamento remoto for necessário, use outros métodos – servidor https ou Wyse Management Suite. As informações sobre como configurá-los podem ser encontradas online no site da Dell.
Em seu servidor DHCP
Dell Wyse usa tags de opção DHCP 161 e 162 para configurar o cliente ThinOS, servidor de arquivos e informações de caminho. Certifique-se de que seu servidor DHCP não os reconfigure de volta ao servidor FTP em cada interação DHCP.
Possíveis cenários de ataque
Os arquivos INI contêm uma longa lista de parâmetros configuráveis detalhados em mais de 100 páginas pela documentação oficial da Dell .
Ler ou alterar esses parâmetros abre a porta para uma variedade de cenários de ataque. Configurar e habilitar o VNC para controle remoto completo, vazamento de credenciais de desktop remoto e manipulação de resultados de DNS são alguns dos cenários que você deve conhecer.
Crédito
Elad Luz, Chefe de Pesquisa da CyberMDX
Professor Gil David, Cientista Chefe de Inteligência Artificial da CyberMDX
Sobre a equipe de pesquisa e análise de segurança cibernética CyberMDX
A equipe de análise e pesquisa da CyberMDX trabalha regularmente com organizações de dispositivos médicos na divulgação responsável de vulnerabilidades de segurança. A abrangente equipe de analistas de inteligência de ameaças trabalha incansavelmente para ajudar a proteger hospitais e organizações de saúde de ataques maliciosos a dispositivos médicos conectados. Os pesquisadores, hackers e engenheiros brancos da equipe coletam informações sobre ameaças potenciais e existentes para entender as motivações, intenções e metodologia do invasor e fornecer a melhor proteção contra ataques e malware.
FONTE: CYBERMDX