El equipo de investigación de CyberMDX descubre vulnerabilidad en los clientes de Dell Wyse Thin
AS-43-2020
Fecha: 23/Dic/2020
Resumen:
Dos vulnerabilidades descubiertas por CyberMDX fueron publicadas por Dell el 21 de diciembre de 2020 como CVE-2020-29491 y CVE-2020-29492. Las vulnerabilidades afectan a los dispositivos cliente Dell Wyse Thin y, una vez explotados, permiten a los atacantes, ejecutar código malintencionado de forma remota, acceder a archivos arbitrarios en los dispositivos afectados, entre otros. El profundo impacto potencial de estas vulnerabilidades junto con la relativa facilidad de explotación es lo que las hace tan críticas. Esta criticidad se captura en las puntuaciones de gravedad de ambas vulnerabilidades - 10 / 10."
Dell Wyse Thin: Es un equipo de factor de forma pequeño optimizado para realizar una conexión de escritorio remoto a un hardware más distante. El software utilizado por el cliente Wyse Thin es mínimo y está dirigido a hacer una experiencia de conexión remota perfecta.
Componentes vulnerables:
Los clientes Dell Wyse afectados ejecutan un sistema operativo denominado ThinOs. Los ThinOs se pueden mantener de forma remota, la forma predeterminada se realiza a través de un servidor FTP local donde los dispositivos pueden extraer nuevo firmware, paquetes y configuraciones. Aunque hay formas alternativas de mantener de forma remota a estos clientes, encontramos que esta manera es bastante popular y es el método recomendado por Dell.
Recomendaciones:
Siempre que sea posible (dependiendo del modelo, consulte la tabla a continuación) actualice el firmware de Thin Client a ThinOS versión 9.x, lo que eliminará la función de administración de archivos INI.
| Compatibilidad | ||
| Modelo | ThinOS 8.x | ThinOS 9.x |
| Wyse 3020 | Sí | - |
| Wyse 3030 LT | Sí | - |
| Wyse 3040 | Sí | Sí |
Referencias:
https://www.cybermdx.com/vulnerability-research-disclosures/dell-wyse-thin-client-vulnerability
https://securityaffairs.co/wordpress/112520/hacking/dell-wyse-thinos-flaws.html
https://www.securityweek.com/critical-vulnerabilities-expose-dell-wyse-thin-client-devices-attacks
https://thehackernews.com/2020/12/two-critical-flaws-cvss-score-10-affect.html
https://www.theregister.com/2020/12/21/dell_wyse_thin_client_scores/
| Lc3WC1S445*rd$ |
