您的位置首页>业界>

DellWyseThinOS具有主要的安全缺陷

导读在戴尔的Wyse瘦客户端中发现了两个关键漏洞,攻击者可以利用这些漏洞来远程运行恶意代码并获得对任意文件的访问权限。近年来,随着小型PC的

在戴尔的Wyse瘦客户端中发现了两个关键漏洞,攻击者可以利用这些漏洞来远程运行恶意代码并获得对任意文件的访问权限。近年来,随着小型PC的功能越来越强大,许多组织,尤其是医疗保健行业的组织已经转向瘦客户机以满足其计算需求,因为它们占用的空间远远少于传统的台式PC。Dell Wyse瘦客户机是企业中的流行选择,估计有6,000多家组织已将它们部署在他们的网络中。

戴尔通过其Wyse设备附带了自己的操作系统ThinOS,两个重要漏洞(CVE-2020-29492和CVE-2020-29491)驻留在其OS中。ThinOS也可以远程维护,这家位于奥斯汀的公司建议用户为其Wyse设备设置FTP服务器,以下载包括固件,软件包和配置的更新。

但是,专注于医疗保健行业的网络安全公司Cyber​​MDX的安全研究人员发现,使用匿名用户配置文件可以通过FTP访问几乎十二个Dell Wyse瘦客户端,而无需任何凭据。他们还发现只有固件和软件包经过签名,这意味着攻击者可以使用INI配置文件将易受攻击的计算机作为目标。

Cyber​​MDX的研究主管Elad Luz在博客文章中提供了进一步的见解,内容是缺乏证书如何使Dell Wyse瘦客户机容易受到攻击,他说:

“由于没有凭据,因此网络上的任何人基本上都可以访问FTP服务器并修改瘦客户机设备的INI文件保存配置。而且,即使设置了凭据,它们也将在大量客户端之间共享,从而使它们可以更改彼此的INI配置文件。”

据Cyber​​MDX称,只有运行ThinOS 8.6及以下版本的Wyze型号3020、3030 LT,3040、5010、5040 AIO,5060、5070、5070 Extended,5470、5470 AIO和7010受到影响。尽管戴尔发布了ThinOS9来解决这两个关键漏洞,但不幸的是Wyze型号3020、3030 LT,5010、5040 AIO,5060和7010无法再更新。

如果您的组织使用的模型无法更新,则Cyber​​MDX建议禁用FTP进行更新,而应使用替代方法。同时,戴尔发布了一项安全公告,建议组织使用安全协议并确保其文件服务器具有只读访问权限以保护其设备。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。