Dell Wyse Thin 클라이언트 기기에서 치명적인 취약점 2개 발견

Two Critical Flaws — CVSS Score 10 — Affect Dell Wyse Thin Client Devices

 

한 연구원 팀이 Dell Wyse Thin 클라이언트에서 치명적인 보안 취약점 2개를 발견했습니다. 이 취약점을 악용한 공격자는 잠재적으로 취약한 기기에서 원격으로 악성코드를 실행하고 임의 파일에 접근할 수 있었습니다.

 

이 취약점은 의료 관련 사이버 보안 업체인 CyberMDX에서 발견하여 2020년 6월 Dell 측에 제보되었으며 ThinOS 버전 8.6 및 이전 버전을 실행하는 모든 기기에 영향을 미칩니다.

 

Dell은 12월 21일 공개된 업데이트를 통해 이 두 취약점을 모두 패치했습니다.

 

이 두 취약점은 CVSS 점수 10점 만점에 10점을 받아 심각도 ‘치명적’으로 분류되었습니다.

 

Thin 클라이언트는 일반적으로 로컬 하드드라이브가 아닌 중앙 서버에 저장된 리소스를 실행하는 컴퓨터입니다.

 

이는 애플리케이션을 시작 및 실행하고 관련 데이터를 저장하는 역할을 하는 서버에 원격 연결을 설정하는 방식으로 동작합니다.

 

CVE-2020-29491, CVE-2020-29492로 등록된 이 취약점은 로컬 서버로부터 펌웨어 업데이트와 설정을 가져오는데 사용된 FTP 세션이 아무런 인증도 없이 ("anonymous") 보호되지 않은 상태였기 때문에 발생합니다. 따라서 동일한 네트워크상에 있는 공격자가 구성을 읽고 변경할 수 있게 됩니다.

 

 

<이미지 출처 : https://www.cybermdx.com/vulnerability-research-disclosures/dell-wyse-thin-client-vulnerability>

 

 

 

첫 번째 취약점인 CVE-2020-29491은 사용자가 서버에 접근해 다른 클라이언트에 속한 구성(.ini파일)을 읽을 수 있도록 허용합니다.

 

두 번째 취약점인 CVE-2020-29492는 네트워크상의 아무나 FTP 서버에 접근하여 다른 Thin 클라이언트 기기의 구성이 포함된 .ini 파일을 직접 변경하도록 허용합니다.

 

가장 치명적인 점은 해당 구성 파일이 기기 해킹에 필요한 비밀번호, 계정 정보 등 민감 데이터를 포함하고 있을 가능성이 있다는 것입니다.

 

이 취약점의 악용이 비교적 쉽기 때문에, 가능한 빨리 패치를 적용하여 위험을 제거하는 것이 좋습니다.

 

또한 연구원들은 INI 파일 관리 기능이 제거된 ThinOS 9로 호환되는 클라이언트를 업데이트할 것을 권장했습니다.

 

업데이트가 불가능한 경우, 취약한 파일을 가져오기 위해 FTP를 사용하는 것을 멈추고, 대신 HTTPS 서버나 Wyse Management Suite를 사용하는 것이 좋습니다.

 

CyberMDX 연구원은 아래와 같이 밝혔습니다.

 

“[ini 파일 내] 파라미터를 읽거나 변경할 경우 적용 가능한 다양한 공격 시나리오가 발생합니다.”

 

“주의해야할 공격 시나리오는 원격 제어를 위한 VNC 구성 및 활성 및 활성화, 원격 데스크톱 자격 증명 유출, DNS 결과 조작입니다.”

 

 

 

 

 

출처:

https://thehackernews.com/2020/12/two-critical-flaws-cvss-score-10-affect.html

https://www.cybermdx.com/vulnerability-research-disclosures/dell-wyse-thin-client-vulnerability

https://www.dell.com/support/kbdoc/ko-kr/000180768/dsa-2020-281