Dell a patché 2 failles dans Dell Wyse Thin Clients

0

Dell a corrigé deux vulnérabilités de sécurité critiques dans les appareils Dell Wyse Thin Clients, qui sont des ordinateurs de petit format optimisés pour la connexion à un poste de travail distant. Les failles en question permettent l’exécution de code arbitraire et la possibilité d’accéder aux fichiers et aux informations d’identification, ont déclaré les chercheurs.

Les appareils Dell Wyse Thin Clients (clients légers Dell Wyse) ne contiennent pas la puissance de traitement d’un PC normal; au lieu de cela, ils agissent comme des terminaux moins intelligents qui se connectent à des applications hébergées sur un ordinateur distant. Ils sont souvent utilisés dans des environnements où les employeurs donnent aux employés l’accès à un certain ensemble d’applications ou de ressources; ou pour que les travailleurs à distance se connectent au siège.

Wyse développe des clients légers depuis les années 1990 et a été acquis par Dell en 2012. Rien qu’aux États-Unis, plus de 6 000 entreprises et organisations utilisent des clients légers Dell Wyse à l’intérieur de leur réseau, dont beaucoup (mais pas tous) sont des prestataires de soins de santé, selon les chercheurs de CyberMDX qui ont découvert les failles.

En ce qui concerne le nombre d’appareils potentiellement affectés, ce nombre n’est pas clair – mais Dell a déclaré dans le passé qu’il y avait des «millions» de clients légers Dell Wyse déployés au sein des entreprises.

Les appareils utilisent ThinOS, qui est géré à distance par défaut à l’aide d’un serveur FTP (File Transfer Protocol) local, à partir duquel les appareils extraient de nouveaux micrologiciels, packages et configurations.

La première vulnérabilité (CVE-2020-29491) provient du fait que les appareils Dell Wyse Thin Client ping périodiquement le serveur afin d’extraire leurs dernières configurations, ont découvert les chercheurs. Ils le font sans authentification. Le problème est que «la configuration de tous les clients légers se trouve sur un serveur distant, accessible à toute personne du réseau pour la lecture», a déclaré Elad Luz, responsable de la recherche chez CyberMDX. «Cela signifie qu’un tiers du réseau pourrait également accéder à ces fichiers de configuration et, simplement en les lisant, pourrait potentiellement compromettre un appareil. En effet, ces fichiers de configuration peuvent contenir des informations d’identification pour différentes méthodes d’accès à distance. »

Dell Wyse Thin Client

La deuxième faille (CVE-2020-29492) existe parce que le serveur sur lequel ces configurations sont stockées autorise un accès en lecture et en écriture à ses fichiers de configuration, permettant à quiconque sur le réseau de les lire et de les modifier à l’aide de FTP.

«La deuxième vulnérabilité est la plus dangereuse des deux et permet d’écrire sur ces fichiers, ce qui donne la possibilité de les modifier. Les deux peuvent sembler similaires, mais ils sont traités comme deux problèmes différents parce que la résolution d’un seul d’entre eux ne résout pas l’autre », a expliqué Luz.

Ensemble, les failles ouvrent la voie à des ravages et sont malheureusement triviaux à exploiter.

«L’une des principales raisons pour lesquelles cette vulnérabilité est critique est que sa complexité d’attaque est très simple», a déclaré Luz. «Il suffit de télécharger un fichier de configuration de texte modifié sur un serveur de configuration via FTP. Aucune authentification auprès du client léger n’est requise; la seule authentification possible est avec le serveur FTP (pour le téléchargement de la configuration), mais par défaut, elle est installée sans informations d’identification. »

Même si les informations d’identification étaient appliquées, elles seraient les mêmes pour l’ensemble des clients Wyse au sein d’une organisation, ce qui serait toujours une approche non sécurisée, a-t-il noté.

Dell Wyse

Les attaquants doivent avoir accès au réseau de l’organisation afin de mener les attaques, ce qu’ils peuvent accomplir via une attaque d’accès initial par e-mail ou en exploitant une autre vulnérabilité.

Modifications du fichier INI dans les appareils Dell Wyse Thin Clients

L’un des résultats les plus inquiétants d’une attaque est la possibilité de «modifier le fichier INI contenant les paramètres de configuration des périphériques clients légers», selon un article de blog de CyberMDX.

Les fichiers INI contiennent une longue liste de paramètres configurables, selon l’entreprise. La lecture ou la modification de ces paramètres ouvre la porte à une variété de scénarios d’attaque, y compris la configuration et l’activation de l’informatique en réseau virtuel (VNC) pour un contrôle à distance complet, la fuite des informations d’identification du bureau à distance et la manipulation des résultats DNS.

« Un exemple simple – ces unités peuvent être configurées pour autoriser VNC (une forme de contrôle de bureau à distance), les informations d’identification peuvent être définies, l’invite utilisateur pour cela peut être désactivée », a déclaré Luz. «Étant donné qu’un acteur malveillant [utilise] la configuration VNC dans le fichier INI, il pourra accéder à chaque session de bureau à partir de chacun des clients légers. Cela leur donnera la possibilité d’accéder à distance aux fichiers sur ces postes de travail distants et d’y exécuter du code arbitraire. Cela revient à obtenir un accès illimité aux ordinateurs de bureau au sein d’une organisation. »

Les deux failles ont reçu des scores CVSS de gravité de 10 sur 10.

«L’un des principaux problèmes est que la sécurité est souvent négligée pendant la phase de conception de ces appareils», a déclaré Luz.

Tous les clients légers Dell Wyse utilisant les versions 8.6 et inférieures de ThinOS sont concernés. Dell a déployé un correctif et les administrateurs doivent mettre à jour vers la version 9.x dans la mesure du possible. D’autres devront peut-être utiliser une solution de contournement.

«Les modèles compatibles avec ThinOs 9.x sont maintenant corrigés, d’autres modèles devraient appliquer une atténuation différente et éventuellement attendre une nouvelle version de ThinOs 8.x (qui pourrait être déployée cette semaine)», a déclaré Luz.

Il n’y a jusqu’à présent aucune preuve d’exploitation dans la nature.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire