As falhas podiam levar a situações de execução de código malicioso e acesso arbitrário a ficheiros nos dispositivos afetados.

Afetam todas as versões Thin0S 8.6 e anteriores.

Thin clients são computadores cujos recursos estão armazenados num servidor central em vez de uma drive física; essencialmente estabelecem uma conexão remota ao servidor que trata de lançar as aplicações e armazenar dados que sejam relevantes.

CVE-2020-29491

- Permite ao utilizador aceder ao servidor e ler fichieros de configuração (ficheiros .ini) que pertencem a outros clientes

CVE-2020-29492

- Vem do facto de não haverem credenciais para o FTP, e por isso qualquer pessoa na rede pode aceder ao servidor de FTP e diretamente alterar os fichieros .ini onde se armazena a configuração de outros dispositivos

O mais interessante e devastador é que estes ficheiros de configuração podem também conter dados sensíveis como palavras-passe e informação de contas, dados esses que podem comprometer o dispositivo.

Recomendações:

- Fazer ugprade

- Se não for possível o upgrade, pelo menos remover os ficheiros ou a funcionalidade de gestão dos ficheiros .ini

- Desabilitar o uso de FTP para obter os ficheiros vulneráveis e ter apenas um servidor de HTTPS ou uma Suite de gestão Wyse

Mais informações no blogue dos investigadores: https://www.cybermdx.com/vulnerability-research-disclosures/dell-wyse-thin-client-vulnerability