PT NGFW
Производительность и защита на новом уровне
Эксперт PT SWARM Александр Журнаков обнаружил цепочку уязвимостей в программном комплексе Wyse Management Suite, принадлежащем одному из крупнейших в мире производителей вычислительной техники Dell. Решение предназначено для управления тонкими клиентами. Такие устройства, как правило, выполняют функции обычного компьютера, однако могут работать только в связке с удаленным сервером. Успешно проэксплуатировав уязвимости, атакующий смог бы нарушить операционные процессы, похитить данные и продвинуться в инфраструктуре компании. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление безопасности.
Объем мирового рынка тонких клиентов, по данным Mordor Intelligence, к концу 2026 года достигнет 5,4 миллиарда долларов, причем Dell входит в топ‑пять поставщиков таких решений. Продуктами компании пользуются организации в сферах госуправления, ритейла, финансов, а также в других секторах экономики. Программный комплекс Wyse Management Suite позволяет централизованно управлять тонкими клиентами и может быть развернут как на внутреннем сервере компании (on-premises), так и в публичном «облаке». Проведенный экспертами Positive Technologies мониторинг актуальных угроз (threat intelligence) показал, что большинство потенциально уязвимых узлов с установленным Wyse Management Suite находятся в США, Германии, Франции, Великобритании и Нидерландах.
Уязвимостям PT‑2026‑21793 и PT‑2026‑217941 (CVE‑2026‑22765 и CVE‑2026‑22766, BDU: 2025‑16322 и BDU: 2025‑16323) было присвоено соответственно 8,8 и 7,2 балла из 10 по шкале CVSS 3.1, что соответствует высокому уровню опасности. Обе бреши ставили под угрозу локально развернутые версии Wyse Management Suite. Если бы атакующему удалось успешно проэксплуатировать ошибки, он получил бы возможность нарушить работу тонких клиентов. Кроме того, гипотетически он мог загрузить вредоносное ПО.
Дефект безопасности PT-2026-21793 был связан с нарушением бизнес-логики решения. Недостаточно корректная авторизация позволяла повысить права обычного пользователя до администратора и получить полный доступ ко всем устройствам, подключенным к Wyse Management Suite. В свою очередь, уязвимость PT-2026-21794 позволила бы загрузить вредоносный файл и выполнить произвольный код от имени локального пользователя.
1 Недостатки безопасности зарегистрированы на портале dbugs, на котором аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира.
«Уязвимости, связанные с нарушением бизнес-логики, нередко встречаются в программных комплексах с широкой функциональностью, как у Wyse Management Suite. Полностью соблюдать безопасность такой обширной кодовой базы почти невозможно без специализированных решений. Чтобы снизить риски, следует ограничивать доступ к подобным программным продуктам из внешней сети».
Александр ЖурнаковСпециалист группы исследования ПО отдела тестирования на проникновение, Positive Technologies
Для устранения недостатков защиты необходимо обновить Wyse Management Suite до версии 5.5 или выше.
Это не первая ошибка, найденная экспертами Positive Technologies в продуктах Dell. Так, в 2020 году Марк Ермолов и Георгий Кигурадзе2 обнаружили опасную веб-уязвимость PT‑2020‑18431 (CVE‑2020‑5366) в серверном контроллере удаленного доступа Dell EMC iDRAC3. Успешная эксплуатация ошибки могла привести к получению злоумышленником полного контроля над сервером для его включения и отключения, изменения параметров охлаждения и т. д. Вендор выпустил обновление ПО, устраняющее недостатки.
Продвинутые системы классов NTA (NDR), например PT Network Attack Discovery (PT NAD), детектируют попытки эксплуатации ошибок, например, таких как PT‑2026‑21793 и PT‑2026‑21794, а продукты класса NGFW, такие как PT NGFW, блокируют ее.
Быть в курсе актуальных недостатков безопасности можно на портале dbugs, где аккумулируются данные об уязвимостях в ПО и оборудовании производителей со всего мира, а также рекомендации вендоров по их устранению.
2 На момент обнаружения уязвимости в 2020 году.
3 Контроллер удаленного доступа Dell iDRAC — это аппаратный компонент, относящийся к классу baseboard management controller, размещенный на материнской плате сервера. Контроллер позволяет системным администраторам удаленно обновлять, контролировать, восстанавливать систему Dell, искать и устранять неполадки, даже когда сервер выключен.
