I ricercatori hanno riferito lunedì di aver trovato due vulnerabilità nei dispositivi thin client Dell Wyse a cui è stato assegnato un punteggio di 10 in base al Common Vulnerability Scoring System, il livello di gravità più elevato.
Il fornitore di sicurezza informatica per l'assistenza sanitaria CyberMDX, che ha pubblicato i risultati in un blog, ha affermato che gli aggressori potrebbero potenzialmente eseguire codice dannoso e accedere a file arbitrari sulle macchine interessate.
I thin client vengono eseguiti su Dell Wyse ThinOS 8.6 e sistemi operativi precedenti. Wyse sviluppa thin client dagli anni '90 ed è stata acquisita da Dell nel 2012. Solo negli Stati Uniti, circa 6.000 aziende e organizzazioni gestiscono thin client Dell Wyse all'interno delle proprie reti, molte delle quali sono operatori sanitari.
Dell ha risolto le vulnerabilità e pubblicato i dettagli in un avviso di sicurezza Dell (DSA-2020-281).
Secondo CyberMDX, a entrambe le vulnerabilità è stato assegnato un punteggio CVSS di 10. La prima vulnerabilità, CVE-2020-29491 , consente agli utenti di accedere al server di configurazione e leggere le configurazioni appartenenti ad altri client. La configurazione può includere dati sensibili, comprese potenziali password e informazioni sull'account che potrebbero essere utilizzate in seguito per compromettere il dispositivo. La seconda vulnerabilità, CVE-2020-29492, consente agli utenti di accedere al server e modificare direttamente le configurazioni appartenenti ad altri thin client.
I dispositivi thin client sono computer con fattore di forma ridotto ottimizzati per eseguire una connessione desktop remoto a hardware distante e più ricco di risorse, in particolare tramite un server FTP locale in cui i dispositivi estraggono nuovi firmware, pacchetti e configurazioni.
"Uno dei problemi principali è che la sicurezza viene spesso trascurata durante la fase di progettazione di questi dispositivi", ha affermato Elad Luz, responsabile della ricerca presso CyberMDX. “L'installazione predefinita del server per i dispositivi thin client Il server FTP è configurata per non avere credenziali e questo consente a chiunque sulla rete di accedere al server FTP e modificare il file INI contenente le impostazioni di configurazione per i dispositivi thin client. Ma anche se le credenziali venissero applicate, dovrebbero comunque essere condivise nell'intera flotta di thin client, il che consentirebbe a qualsiasi thin client di accedere e / o modificare la configurazione di tutti gli altri thin client all'interno della rete ".
Craig Young, principale ricercatore di sicurezza per il team di ricerca sulla vulnerabilità e l'esposizione di Tripwire, ha affermato che il modello di dispositivi che estraggono configurazioni da un server FTP anonimo condiviso con file di configurazione scrivibili in tutto il mondo era qualcosa che "non sembrava fuori luogo" 20-30 anni fa . Ha osservato che l'idea che un numero qualsiasi di operatori sanitari gestisca ancora le proprie reti in questo modo dovrebbe sollevare più di qualche sopracciglio.
"I problemi con l'autenticazione e l'autorizzazione affliggono molti dispositivi embedded e sembra che i fornitori abbiano un disperato bisogno di linee guida solide riguardo a cosa funziona e cosa no", ha detto Young.
Le vulnerabilità post riscontrate nei thin client Dell Wyse potrebbero consentire l'accesso a file arbitrari sono apparse per prime su SC Media .