日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
CVSS10分漏洞影響DellWyseThin客戶端設(shè)備

[[359745]]

為豐都等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計(jì)制作服務(wù),及豐都網(wǎng)站建設(shè)行業(yè)解決方案。主營業(yè)務(wù)為網(wǎng)站設(shè)計(jì)、網(wǎng)站建設(shè)、豐都網(wǎng)站設(shè)計(jì),以傳統(tǒng)方式定制建設(shè)網(wǎng)站,并提供域名空間備案等一條龍服務(wù),秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)。我們深信只要達(dá)到每一位用戶的要求,就會(huì)得到認(rèn)可,從而選擇與我們長期合作。這樣,我們也可以走得更遠(yuǎn)!

 近日,CyberMDX 研究人員公開了今年6月在Dell Wyse Thin客戶端中發(fā)現(xiàn)了2個(gè)安全漏洞,漏洞CVE編號為CVE-2020-29491 和 CVE-2020-29492,這兩個(gè)漏洞CVSS 評分都為10分,漏洞影響運(yùn)行ThinOS v8.6及更低版本的所有設(shè)備。攻擊者利用這兩個(gè)漏洞可以在受影響的設(shè)備上遠(yuǎn)程運(yùn)行惡意代碼和訪問受害者設(shè)備上的任意文件。

Dell Wyse Thin Clients

Wyse從90年代開始研發(fā)客戶端,于2012年被Dell收購。僅在美國僅有約6000家企業(yè)和單位使用Dell Wyse thin clients,其中就包含醫(yī)療健康服務(wù)提供商。Thin Clients使用的軟件很小,旨在提供無縫的遠(yuǎn)程連接體驗(yàn)。Thin clients引入了很多的優(yōu)勢,包括:

· 無需攜帶標(biāo)準(zhǔn)PC或服務(wù)器通常需要的高處理、存儲(chǔ)和內(nèi)存資源;

· 簡化和集中維護(hù);

· 降低功耗,降低成本。

· 有漏洞的組件

受影響的Dell Wyse客戶端運(yùn)行的是ThinOs 操作系統(tǒng)。ThinOs可以被遠(yuǎn)程維護(hù),默認(rèn)是通過本地FTP 服務(wù)器來執(zhí)行的,設(shè)備可以通過本地FTP服務(wù)器取回新固件、包和配置文件數(shù)據(jù)。雖然也可以遠(yuǎn)程維護(hù)這些客戶端,但是這種方式是非常流行的,也是Dell推薦的維護(hù)方式。

漏洞概述

Dell 建議使用Microsoft IIS來創(chuàng)建FTP 服務(wù)器,然后通過FTP 服務(wù)器來訪問固件、包和INI文件。FTP 服務(wù)器被配置為匿名用戶無需憑證。當(dāng)FTP服務(wù)器上的固件和包會(huì)被簽名,而用于配置的INI 文件不會(huì)被簽名。

此外,在FTP 服務(wù)器上沒有特定的INI 文件。由于不需要憑證,所以網(wǎng)絡(luò)上的任何人都可以訪問FTP 服務(wù)器,修改thin客戶端設(shè)備的配置數(shù)據(jù)——INI文件。

此外,即使設(shè)置了憑證,憑證也可能會(huì)在不同的客戶端組之間共享,允許互相修改INI配置文件。

當(dāng)Dell Wyse 設(shè)備連接到FTP服務(wù)器時(shí),會(huì)搜索“{username}.ini”形式的INI文件,其中{username}是終端的用戶名。

如果INI文件存在,就從中加載配置文件。由于該文件是可見的,所以攻擊者就可以創(chuàng)建和編輯該文件來控制特定用戶接收的配置。

Thin clients是一個(gè)運(yùn)行保存在中心服務(wù)器上的資源而不是本地硬盤上的計(jì)算機(jī)。其工作原理是建立一個(gè)服務(wù)器的遠(yuǎn)程連接,啟動(dòng)和運(yùn)行應(yīng)用,并保存相關(guān)的數(shù)據(jù)。

CVE-2020-29491 和 CVE-2020-29492漏洞產(chǎn)生的根本原因是用來獲取固件配置的FTP會(huì)話和本地服務(wù)器上的配置是沒有受到保護(hù)的,因此位于相同網(wǎng)絡(luò)內(nèi)的攻擊者就可以讀取和修改其配置數(shù)據(jù)。

CVE-2020-29491漏洞使得攻擊者可以訪問服務(wù)器,并讀取屬于其他客戶端的配置ini文件。CVE-2020-29492 漏洞是由于不需要FTP憑證,因此網(wǎng)絡(luò)上的任何人都可以訪問FTP服務(wù)器,并直接修改保存配置數(shù)據(jù)的ini文件。

此外,配置文件中可能含有敏感信息,比如密碼和賬戶信息,攻擊者利用這些信息可以入侵設(shè)備。

修復(fù)建議

考慮到漏洞是非常容易被利用的,研究人員建議用戶盡快安裝補(bǔ)丁。此外,研究人員還今已用戶移除INI 文件管理特征。如果無法升級,可以禁用FTP來獲取文件,使用HTTPS服務(wù)器或Wyse管理套件來獲取新固件。

更多細(xì)節(jié)參見:https://www.cybermdx.com/vulnerability-research-disclosures/dell-wyse-thin-client-vulnerability。

本文翻譯自:https://thehackernews.com/2020/12/two-critical-flaws-cvss-score-10-affect.html如若轉(zhuǎn)載,請注明原文地址。

 


文章標(biāo)題:CVSS10分漏洞影響DellWyseThin客戶端設(shè)備
鏈接分享:http://m.5511xx.com/article/coddpph.html