오늘 한 연구팀이 공격자가 원격으로 악성 코드를 실행하고, 영향을 받는 장치의 임의 파일에 접근할 수 있도록 하는 두 가지 중요한 보안 취약점을 Dell Wyse Thin 클라이언트에서 발견했다.
의료 사이버 보안 업체 CyberMDX에 의해 발견되어 2020년 6월에 Dell에 보고된 이 결함은 ThinOS 버전 8.6 이하를 실행하는 모든 장치에 영향을 미친다.
Dell은 오늘 릴리스 된 업데이트의 두 가지 취약성을 모두 해결했다. 이 결함은 CVSS 점수가 10점 만점에 10점이어서 심각성이 매우 심각한 것이다.
Thin 클라이언트는 일반적으로 로컬 하드 드라이브 대신 중앙 서버에 저장된 리소스에서 실행되는 컴퓨터다. 이들은 서버에 대한 원격 연결을 설정하여 작업을 수행하는데, 이 연결은 응용 프로그램을 시작하고 실행하며 관련 데이터를 저장하는 것을 담당한다.
CVE-2020-29491 및 CVE-2020-29492로 추적된 Wyse Thin 클라이언트의 취약점은 로컬 서버에서 펌웨어 업데이트 및 구성을 가져오는 데 사용되는 FTP 세션이 보호되지 않고 인증("anonymous")을 통해 동일한 네트워크의 공격자가 해당 구성을 읽고 변경할 수 있다는 사실에서 비롯된다.
따라서 동일한 네트워크에 존재하는 공격자가 구성을 읽고 변경할 수 있게 된다.
[그림1. 영향 받는 모델]
첫 번째 결함인 CVE-2020-29491은 사용자가 서버에 액세스하고 다른 클라이언트에 속한 구성(.ini 파일)을 읽을 수 있도록 한다.
FTP 자격 증명이 없는 두 번째 결과는 네트워크에 있는 모든 사용자가 FTP 서버에 액세스할 수 있고 다른 Thin 클라이언트 장치에 대한 구성을 보유한 .ini 파일을 직접 변경할 수 있다는 것이다. (CVE-2020-29492)
가장 심각한 문제는 구성 중에 잠재적인 암호와 장치를 손상시키는 데 사용할 수 있는 계정 정보 등 중요한 데이터가 포함될 수 있다는 것이다.
이러한 결함은 비교적 쉽게 공격할 수 있으므로 가능한 한 빨리 패치를 적용하여 위험을 해결하는 것이 좋다.
또한 CyberMDX는 INI 파일 관리 기능을 제거하는 ThinOS 9로 호환되는 클라이언트를 업데이트할 것을 권장한다.
업그레이드가 불가능한 경우 취약한 파일을 가져오는 FTP를 사용하지 않도록 설정하고 대신 HTTPS 서버 또는 Wyse Management Suite를 사용하는 것이 좋다.
출처
https://www.bleepingcomputer.com/news/security/critical-bugs-in-dell-wyse-thinos-allow-thin-client-take-over/
https://thehackernews.com/2020/12/two-critical-flaws-cvss-score-10-affect.html
https://threatpost.com/critical-bugs-dell-wyse-thin-clients/162452/
