Deux vulnérabilités critiques ont été découvertes dans les clients légers Dell Wyse qui pourraient être exploitées à distance par un attaquant pour exécuter du code malveillant et accéder à des fichiers arbitraires.
Alors que les PC à petit facteur de forme sont devenus plus puissants ces dernières années, de nombreuses entreprises, en particulier celles du secteur de la santé, se sont tournées vers des clients légers pour leurs besoins informatiques, car ils occupent beaucoup moins d’espace qu’un ordinateur de bureau traditionnel. Les clients légers Dell Wyse sont un choix populaire parmi les entreprises et on estime que plus de 6 000 organisations les ont déployés sur leurs réseaux.
Dell livre son propre système d’exploitation appelé ThinOS avec ses appareils Wyse et les deux vulnérabilités critiques, suivies comme CVE-2020-29492 et CVE-2020-29491, résident dans son système d’exploitation. ThinOS peut également être maintenu à distance et la société basée à Austin recommande aux utilisateurs de configurer un serveur FTP pour ses appareils Wyse afin de télécharger les mises à jour, y compris le micrologiciel, les packages et les configurations.
Cependant, les chercheurs en sécurité de la société de cybersécurité CyberMDX, qui se concentre sur le secteur de la santé, ont constaté que l’accès à près d’une douzaine de clients légers Dell Wyse via FTP était possible sans informations d’identification en utilisant un profil d’utilisateur anonyme. Ils ont également découvert que seuls le micrologiciel et les packages sont signés, ce qui signifie qu’un attaquant pourrait utiliser les fichiers de configuration INI pour cibler des machines vulnérables.
Sommaire
Vulnérabilités ThinOS
Responsable de la recherche chez CyberMDX, Elad Luz a fourni des informations supplémentaires dans un article de blog sur la façon dont le manque d’informations d’identification peut rendre les clients légers Dell Wyse vulnérables aux attaques, en disant:
«Comme il n’y a pas d’informations d’identification, pratiquement n’importe qui sur le réseau peut accéder au serveur FTP et modifier ce fichier INI contenant la configuration des périphériques clients légers. De plus, même si les informations d’identification étaient définies, elles seraient partagées entre une grande flotte de clients, ce qui leur permettrait de modifier les fichiers de configuration INI de chacun. »
Selon CyberMDX, seuls les modèles Wyze 3020, 3030 LT, 3040, 5010, 5040 AIO, 5060, 5070, 5070 Extended, 5470, 5470 AIO et 7010 exécutant ThinOS 8.6 et inférieurs sont concernés. Alors que Dell a publié ThinOS9 pour remédier aux deux vulnérabilités critiques, les modèles Wyze 3020, 3030 LT, 5010, 5040 AIO, 5060 et 7010 ne peuvent malheureusement plus être mis à jour.
Si votre organisation utilise un modèle qui ne peut pas être mis à jour, CyberMDX recommande de désactiver l’utilisation de FTP pour les mises à jour et de recourir à une méthode alternative à la place. Pendant ce temps, Dell a publié un avis de sécurité recommandant aux entreprises d’utiliser un protocole sécurisé et de s’assurer que leurs serveurs de fichiers ont un accès en lecture seule afin de sécuriser leurs appareils.
Via BleepingComputer
