戴尔 Wyse Thin 客户端设备受两个 CVSS 10分严重漏洞影响

研究人员在2020年6月将问题告知戴尔公司，并指出影响运行 ThinOS 8.6及以下版本。戴尔在今天发布的更新中修复了这两个缺陷，它们的 CVSS 评分为10分，属于“严重”级别的漏洞，编号为 CVE-2020-29491 和 CVE-2020-29492。

瘦 (Thin) 客户端是指从存储在中心服务器而非本地化硬盘驱动上的资源运行的计算机。它们和服务器建立远程连接后工作，负责启动并运行应用程序和存储相关数据。

这两个缺陷都是戴尔 Wyse ThinOS 8.6 及之前版本中包含的不安全的默认配置漏洞。远程未认证攻击者可能利用 CVE-2020-29491 访问本地网络上的敏感信息，从而导致受影响的瘦客户端遭攻陷；未认证远程攻击者可能利用 CVE-2020-29492，访问可写文件并操纵任何具体目标站的配置。最糟糕的地方在于，这些配置信息中包含敏感数据如密码和账户信息，从而可能导致设备失陷。

鉴于漏洞的严重程序，建议用户尽快更新。

CyberMDX 还建议将可兼容客户端更新至 ThinOS 9，删除 INI 文件管理功能。如无法更新，则禁用 FTP，使用 HTTPS 服务器或 Wyse Management Suite，“读取或修改 .ini 文件中的这些参数可造成多种攻击场景。配置和启用 VNC 实现完整的远程控制，会泄露远程桌面凭据并操纵 DNS 结果等。”