CyberMDX Research Team descobre vulnerabilidade em Dell Wyse Thin Clients

Views: 228
0 0
Read Time:5 Minute, 46 Second

Esta página cobre duas vulnerabilidades descobertas pelo CyberMDX e publicadas pela Dell em 21 de dezembro de 2020 como CVE-2020-29491 e CVE-2020-29492. As vulnerabilidades afetam os dispositivos Dell Wyse Thin client e, uma vez exploradas, permitem que os invasores, entre outras coisas, executem remotamente códigos maliciosos e acessem arquivos arbitrários nos dispositivos afetados.

O profundo impacto potencial dessas vulnerabilidades, juntamente com a relativa facilidade de exploração, é o que as torna tão críticas. Essa criticidade é capturada nas pontuações de gravidade de ambas as vulnerabilidades – 10/10.

Todos os Dell Wyse Thin Clients afetados estão executando ThinOS versões 8.6 e abaixo:


Modelo
Versões afetadas
Wyse 3020Todas as versões até ThinOS 8.6 (atualmente a mais recente)
Wyse 3030 LTTodas as versões até ThinOS 8.6 (atualmente a mais recente)
Wyse 3040Todas as versões até ThinOS 8.6
Wyse 5010Todas as versões até ThinOS 8.6 (atualmente a mais recente)
Wyse 5040 AIOTodas as versões até ThinOS 8.6 (atualmente a mais recente)
Wyse 5060Todas as versões até ThinOS 8.6 (atualmente a mais recente)
Wyse 5070Todas as versões até ThinOS 8.6
Wyse 5070 ExtendedTodas as versões até ThinOS 8.6
Wyse 5470Todas as versões até ThinOS 8.6
Wyse 5470 AIOTodas as versões até ThinOS 8.6
Wyse 7010Todas as versões até ThinOS 8.6 (atualmente a mais recente)

CVE-2020-29491

Nível de risco:Uma pontuação máxima de gravidade de 10,0 foi atribuída a esta vulnerabilidade. A string de vetor CVSS é AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: H
Data relatada:Junho de 2020
Data do Aviso CISA:21 de dezembro de 2020

CVE-2020-29492

Nível de risco:Uma pontuação máxima de gravidade de 10,0 foi atribuída a esta vulnerabilidade. A string de vetor CVSS é AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: H
Data relatada:Junho de 2020
Data do Aviso CISA:21 de dezembro de 2020

Detalhes de vulnerabilidade

Dell Wyse Thin Clients

A Wyse desenvolve thin clients desde os anos 90 e foi adquirida pela Dell em 2012. Somente nos Estados Unidos, estima-se que cerca de 6.000 empresas e organizações estão usando frotas de thin client Dell Wyse em sua rede, incluindo muitos provedores de saúde.

O que são Thin Clients?

Um pequeno computador de fator de forma otimizado para realizar uma conexão de área de trabalho remota a um hardware distante (e geralmente) com mais recursos. O software usado pelo thin client é mínimo e direcionado para fazer uma experiência de conexão remota perfeita.

Os clientes finos apresentam várias vantagens, incluindo:

  • Eliminando a necessidade de transportar os recursos de alto processamento, armazenamento e memória normalmente exigidos por PCs ou servidores padrão
  • Simplificando e centralizando a manutenção
  • Reduzindo o consumo de energia e diminuindo os custos

Componentes Vulneráveis

Manutenção remota ThinOs

Os clientes Dell Wyse afetados executam um sistema operacional denominado ThinOs. ThinOs podem ser mantidos remotamente, a forma padrão é realizada por meio de um servidor FTP local onde os dispositivos podem obter novos firmware, pacotes e configurações. Embora existam maneiras alternativas de manter esses clientes remotamente, descobrimos que essa forma é bastante popular e é o método recomendado pela Dell.

O servidor FTP

A Dell aconselha a criação de um servidor FTP usando o Microsoft IIS (sem orientação específica) e, a seguir, dando acesso a firmware, pacotes e arquivos INI acessíveis por meio do servidor FTP. O FTP está configurado para não ter credenciais (usuário “anônimo”). Enquanto os arquivos de firmware e pacote encontrados no servidor FTP são assinados, os arquivos INI usados ​​para configuração não são.

Além disso, há um arquivo INI específico no servidor FTP que deve ser gravável para os clientes conectados (isso ocorre por design). Como não há credenciais, basicamente qualquer pessoa na rede pode acessar o servidor FTP e modificar a configuração do arquivo INI para os dispositivos thin client.

Além disso, mesmo se as credenciais fossem definidas, elas seriam compartilhadas por uma grande frota de clientes, permitindo que alterassem os arquivos de configuração INI uns dos outros.

{username} arquivo .ini

Quando um dispositivo Dell Wyse se conecta ao servidor FTP, ele procura um arquivo INI na forma de “{nome de usuário} .ini” onde {nome de usuário} é substituído pelo nome de usuário usado pelo terminal.

Se este arquivo INI existir, ele carrega a configuração dele. Conforme observado, esse arquivo é gravável, portanto, pode ser criado e manipulado por um invasor para controlar a configuração recebida por um usuário específico.

Mitigações e recomendações

Atualize para ThinOS 9.x

Sempre que possível (dependendo do modelo, consulte a tabela abaixo) atualize seu firmware Thin Client para ThinOS versão 9.x, que removerá o recurso de gerenciamento de arquivo INI.

ModeloCompatibilidade
ThinOS Versão 8.xThinOS Versão 9.x
Wyse 3020sim
Wyse 3030 LTsim
Wyse 3040simsim
Wyse 5010sim
Wyse 5040 AIOsim
Wyse 5060sim
Wyse 5070simsim
Wyse 5070 Extendedsimsim
Wyse 5470simsim
Wyse 5470 AIOsimsim
Wyse 7010sim

Se o seu dispositivo não puder ser atualizado para ThinOS 9.x

Se o seu dispositivo não puder ser atualizado para ThinOS 9.x, é recomendado que você desative o uso de FTP para obter os arquivos vulneráveis.

Na área de trabalho do cliente ThinOS

Navegue até Configuração do sistema> Configuração central> Geral.

Remova todas as configurações de FTP presentes. Onde o gerenciamento remoto for necessário, use outros métodos – servidor https ou Wyse Management Suite. As informações sobre como configurá-los podem ser encontradas online no site da Dell.

Em seu servidor DHCP

Dell Wyse usa tags de opção DHCP 161 e 162 para configurar o cliente ThinOS, servidor de arquivos e informações de caminho. Certifique-se de que seu servidor DHCP não os reconfigure de volta ao servidor FTP em cada interação DHCP.

Possíveis cenários de ataque

Os arquivos INI contêm uma longa lista de parâmetros configuráveis ​​detalhados em mais de 100 páginas pela documentação oficial da Dell .

Ler ou alterar esses parâmetros abre a porta para uma variedade de cenários de ataque. Configurar e habilitar o VNC para controle remoto completo, vazamento de credenciais de desktop remoto e manipulação de resultados de DNS são alguns dos cenários que você deve conhecer.


Crédito

Elad Luz, Chefe de Pesquisa da CyberMDX 
Professor Gil David, Cientista Chefe de Inteligência Artificial da CyberMDX

Sobre a equipe de pesquisa e análise de segurança cibernética CyberMDX

A equipe de análise e pesquisa da CyberMDX trabalha regularmente com organizações de dispositivos médicos na divulgação responsável de vulnerabilidades de segurança. A abrangente equipe de analistas de inteligência de ameaças trabalha incansavelmente para ajudar a proteger hospitais e organizações de saúde de ataques maliciosos a dispositivos médicos conectados. Os pesquisadores, hackers e engenheiros brancos da equipe coletam informações sobre ameaças potenciais e existentes para entender as motivações, intenções e metodologia do invasor e fornecer a melhor proteção contra ataques e malware.

FONTE: CYBERMDX

Previous post Microsoft alertou CrowdStrike sobre uma possível tentativa de hack
Next post O que é microssegmentação?

Deixe um comentário