自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

CVSS 10分漏洞影響Dell Wyse Thin客戶端設(shè)備

作者:ang010ela
安全 漏洞
​研究人員在Dell Wyse Thin客戶端設(shè)備中發(fā)現(xiàn)2個(gè)10分漏洞。

[[359745]]

 近日,CyberMDX 研究人員公開了今年6月在Dell Wyse Thin客戶端中發(fā)現(xiàn)了2個(gè)安全漏洞,漏洞CVE編號為CVE-2020-29491 和 CVE-2020-29492,這兩個(gè)漏洞CVSS 評分都為10分,漏洞影響運(yùn)行ThinOS v8.6及更低版本的所有設(shè)備。攻擊者利用這兩個(gè)漏洞可以在受影響的設(shè)備上遠(yuǎn)程運(yùn)行惡意代碼和訪問受害者設(shè)備上的任意文件。

Dell Wyse Thin Clients

Wyse從90年代開始研發(fā)客戶端,于2012年被Dell收購。僅在美國僅有約6000家企業(yè)和單位使用Dell Wyse thin clients,其中就包含醫(yī)療健康服務(wù)提供商。Thin Clients使用的軟件很小,旨在提供無縫的遠(yuǎn)程連接體驗(yàn)。Thin clients引入了很多的優(yōu)勢,包括:

· 無需攜帶標(biāo)準(zhǔn)PC或服務(wù)器通常需要的高處理、存儲(chǔ)和內(nèi)存資源;

· 簡化和集中維護(hù);

· 降低功耗,降低成本。

· 有漏洞的組件

受影響的Dell Wyse客戶端運(yùn)行的是ThinOs 操作系統(tǒng)。ThinOs可以被遠(yuǎn)程維護(hù),默認(rèn)是通過本地FTP 服務(wù)器來執(zhí)行的,設(shè)備可以通過本地FTP服務(wù)器取回新固件、包和配置文件數(shù)據(jù)。雖然也可以遠(yuǎn)程維護(hù)這些客戶端,但是這種方式是非常流行的,也是Dell推薦的維護(hù)方式。

漏洞概述

Dell 建議使用Microsoft IIS來創(chuàng)建FTP 服務(wù)器,然后通過FTP 服務(wù)器來訪問固件、包和INI文件。FTP 服務(wù)器被配置為匿名用戶無需憑證。當(dāng)FTP服務(wù)器上的固件和包會(huì)被簽名,而用于配置的INI 文件不會(huì)被簽名。

此外,在FTP 服務(wù)器上沒有特定的INI 文件。由于不需要憑證,所以網(wǎng)絡(luò)上的任何人都可以訪問FTP 服務(wù)器,修改thin客戶端設(shè)備的配置數(shù)據(jù)——INI文件。

此外,即使設(shè)置了憑證,憑證也可能會(huì)在不同的客戶端組之間共享,允許互相修改INI配置文件。

當(dāng)Dell Wyse 設(shè)備連接到FTP服務(wù)器時(shí),會(huì)搜索“{username}.ini”形式的INI文件,其中{username}是終端的用戶名。

如果INI文件存在,就從中加載配置文件。由于該文件是可見的,所以攻擊者就可以創(chuàng)建和編輯該文件來控制特定用戶接收的配置。

Thin clients是一個(gè)運(yùn)行保存在中心服務(wù)器上的資源而不是本地硬盤上的計(jì)算機(jī)。其工作原理是建立一個(gè)服務(wù)器的遠(yuǎn)程連接,啟動(dòng)和運(yùn)行應(yīng)用,并保存相關(guān)的數(shù)據(jù)。

CVE-2020-29491 和 CVE-2020-29492漏洞產(chǎn)生的根本原因是用來獲取固件配置的FTP會(huì)話和本地服務(wù)器上的配置是沒有受到保護(hù)的,因此位于相同網(wǎng)絡(luò)內(nèi)的攻擊者就可以讀取和修改其配置數(shù)據(jù)。

CVE-2020-29491漏洞使得攻擊者可以訪問服務(wù)器,并讀取屬于其他客戶端的配置ini文件。CVE-2020-29492 漏洞是由于不需要FTP憑證,因此網(wǎng)絡(luò)上的任何人都可以訪問FTP服務(wù)器,并直接修改保存配置數(shù)據(jù)的ini文件。

此外,配置文件中可能含有敏感信息,比如密碼和賬戶信息,攻擊者利用這些信息可以入侵設(shè)備。

修復(fù)建議

考慮到漏洞是非常容易被利用的,研究人員建議用戶盡快安裝補(bǔ)丁。此外,研究人員還今已用戶移除INI 文件管理特征。如果無法升級,可以禁用FTP來獲取文件,使用HTTPS服務(wù)器或Wyse管理套件來獲取新固件。

更多細(xì)節(jié)參見:https://www.cybermdx.com/vulnerability-research-disclosures/dell-wyse-thin-client-vulnerability。

本文翻譯自:https://thehackernews.com/2020/12/two-critical-flaws-cvss-score-10-affect.html如若轉(zhuǎn)載,請注明原文地址。

 

責(zé)任編輯:姜華 來源: 嘶吼網(wǎng)
漏洞Dell Wyse Thin客戶端
相關(guān)推薦

2012-08-27 11:31:58

Dell Wyse

2021-08-22 14:52:00

漏洞網(wǎng)絡(luò)安全網(wǎng)絡(luò)攻擊

2012-12-18 09:34:49

2013-03-13 10:51:44

瘦客戶端VDI

2014-07-17 15:47:52

2011-03-07 13:50:20

2012-07-26 09:48:46

2011-06-08 14:30:54

SkypeWindows微軟

2021-11-15 06:00:14

JSPanda掃描漏洞

2020-07-15 10:35:25

漏洞攻擊網(wǎng)絡(luò)安全

2011-08-17 10:10:59

2009-08-06 15:53:28

2021-09-22 15:46:29

虛擬桌面瘦客戶端胖客戶端

2012-10-19 13:37:08

2010-05-31 10:11:32

瘦客戶端

2011-10-26 13:17:05

2011-03-02 14:36:24

Filezilla客戶端

2010-12-21 11:03:15

獲取客戶端證書

2011-03-24 13:00:31

配置nagios客戶端

2020-04-02 11:20:23

Zoom漏洞黑客
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號