Dell针对Wyse电脑OS修补2个危险度满分的安全漏洞

研究人员发现，Dell的精简型电脑Wyse操作系统中有2个风险分数高达10分的重大漏洞，可让攻击者在电脑上远端执行程式码，或存取任意档案。

Wyse是知名老牌的精简型电脑，这类装置很适合作为远端桌面连网作业，单单在美国就有6000多家企业和组织用户，包括医疗院所。Wyse于2012年为Dell收购。

二项漏洞是由安全厂商CyberMDX发现，编号分别为CVE-2020-29491与 CVE-2020-29492，均位于Dell Wyse操作系统ThinOS。CVE-2020-29491为不安全的预设组态漏洞，让远端攻击者可存取本地网络上的敏感资讯，导致终端装置被骇入风险。CVE-2020-29492则指涉另一不安全预设组态漏洞，令远端攻击者得以存取可写入的档案，以操控任何目标终端。

Wyse的操作系统ThinOS可远端管理，Dell建议企业设立FTP服务器，让Wyse终端下载固件、套件和组态等更新软件，而且这么设定的企业也很多。

研究人员指出，这类组态利用Microsoft IIS架一台FTP服务器，让连网的Wyse终端下载软件及INI档案。这台FTP服务器不需特殊凭证（即匿名用户）即可存取，此为CVE-2020-29491。

此外，FTP上的固件、套件档经过签章，但用于组态的INI档却没有。而且还有个特殊的INI档必须要为连网的那一台终端写入。由此攻击者即可建立恶意的INI档，来控制特定台终端的组态，此为CVE-2020-29492。

由于INI档不需凭证即可存取，因此基本上内部网络上任何人，都可以存取FTP服务器修改这个和组态有关的INI档。更糟的是，就算企业设了存取控管，INI档还是可由大批Wyse终端共享，攻击者也可以由别台终端连网来修改INI档，变更、控制特定一台Wyse终端。

由于本攻击实在太容易，两项漏洞被给予CVSS 3.1风险评分满分10分。Dell于今年6月接获安全公司通报，也在修补后于本周发布安全公告。

受到影响的产品为所有执行ThinOS 8.6及以前版本的Wyse终端装置，包括Wyse 3030 LT 、3040、5010 、5040 AIO 、5060、5070、5070 Extended、5470、5470 AIO及7010。按照Dell公告，3030LT、5010、5040 AIO及5060已为最新版操作系统。而3040及5470系列，最好升级到移除INI档管理功能的ThinOS 9.x版。

要是企业装置不支援9.x版又不能立即安装更新ThinOS的话，Dell建议先关闭有问题INI档的FTP服务器。