As falhas podiam levar a situações de execução de código malicioso e acesso arbitrário a ficheiros nos dispositivos afetados.
Afetam todas as versões Thin0S 8.6 e anteriores.
Thin clients são computadores cujos recursos estão armazenados num servidor central em vez de uma drive física; essencialmente estabelecem uma conexão remota ao servidor que trata de lançar as aplicações e armazenar dados que sejam relevantes.
CVE-2020-29491
- Permite ao utilizador aceder ao servidor e ler fichieros de configuração (ficheiros .ini) que pertencem a outros clientes
CVE-2020-29492
- Vem do facto de não haverem credenciais para o FTP, e por isso qualquer pessoa na rede pode aceder ao servidor de FTP e diretamente alterar os fichieros .ini onde se armazena a configuração de outros dispositivos
O mais interessante e devastador é que estes ficheiros de configuração podem também conter dados sensíveis como palavras-passe e informação de contas, dados esses que podem comprometer o dispositivo.
Recomendações:
- Fazer ugprade
- Se não for possível o upgrade, pelo menos remover os ficheiros ou a funcionalidade de gestão dos ficheiros .ini
- Desabilitar o uso de FTP para obter os ficheiros vulneráveis e ter apenas um servidor de HTTPS ou uma Suite de gestão Wyse
Mais informações no blogue dos investigadores: https://www.cybermdx.com/vulnerability-research-disclosures/dell-wyse-thin-client-vulnerability
Comments