研究人員發現,Dell的精簡型電腦Wyse作業系統中有2個風險分數高達10分的重大漏洞,可讓攻擊者在電腦上遠端執行程式碼,或存取任意檔案。

Wyse是知名老牌的精簡型電腦,這類裝置很適合作為遠端桌面連網作業,單單在美國就有6000多家企業和組織用戶,包括醫療院所。Wyse於2012年為Dell收購。

二項漏洞是由安全廠商CyberMDX發現,編號分別為CVE-2020-29491與 CVE-2020-29492,均位於Dell Wyse作業系統ThinOS。CVE-2020-29491為不安全的預設組態漏洞,讓遠端攻擊者可存取本地網路上的敏感資訊,導致終端裝置被駭入風險。CVE-2020-29492則指涉另一不安全預設組態漏洞,令遠端攻擊者得以存取可寫入的檔案,以操控任何目標終端。

Wyse的作業系統ThinOS可遠端管理,Dell建議企業設立FTP伺服器,讓Wyse終端下載韌體、套件和組態等更新軟體,而且這麼設定的企業也很多。

研究人員指出,這類組態利用Microsoft IIS架一臺FTP伺服器,讓連網的Wyse終端下載軟體及INI檔案。這臺FTP伺服器不需特殊憑證(即匿名用戶)即可存取,此為CVE-2020-29491。

此外,FTP上的韌體、套件檔經過簽章,但用於組態的INI檔卻沒有。而且還有個特殊的INI檔必須要為連網的那一臺終端寫入。由此攻擊者即可建立惡意的INI檔,來控制特定臺終端的組態,此為CVE-2020-29492。

由於INI檔不需憑證即可存取,因此基本上內部網路上任何人,都可以存取FTP伺服器修改這個和組態有關的INI檔。更糟的是,就算企業設了存取控管,INI檔還是可由大批Wyse終端共享,攻擊者也可以由別臺終端連網來修改INI檔,變更、控制特定一臺Wyse終端。

由於本攻擊實在太容易,兩項漏洞被給予CVSS 3.1風險評分滿分10分。Dell於今年6月接獲安全公司通報,也在修補後於本周發布安全公告

受到影響的產品為所有執行ThinOS 8.6及以前版本的Wyse終端裝置,包括Wyse 3030 LT 、3040、5010 、5040 AIO 、5060、5070、5070 Extended、5470、5470 AIO及7010。按照Dell公告,3030LT、5010、5040 AIO及5060已為最新版作業系統。而3040及5470系列,最好升級到移除INI檔管理功能的ThinOS 9.x版。

要是企業裝置不支援9.x版又不能立即安裝更新ThinOS的話,Dell建議先關閉有問題INI檔的FTP伺服器。


Advertisement

更多 iThome相關內容