Två kritiska sårbarheter har upptäckts i Dell Wyse-tunna klienter som en angripare kan utnyttja på distans för att exekvera skadlig kod och komma åt godtyckliga filer. Eftersom datorer med små formfaktorer har blivit kraftfullare under de senaste åren har många företag, särskilt de inom hälso- och sjukvården, vänt sig till tunna klienter för sina datorbehov eftersom de tar upp mycket mindre utrymme. än en traditionell stationär dator. Dell Wyse tunna klienter är ett populärt val bland företag och det uppskattas att mer än 6.000 2020 organisationer har distribuerat dem i sina nätverk. Dell levererar sitt eget operativsystem kallat ThinOS med sina Wyse-enheter och de två kritiska sårbarheterna, spårade som CVE-29492-2020 och CVE-29491-XNUMX, finns i dess operativsystem. ThinOS kan också underhållas på distans, och det Austin-baserade företaget rekommenderar att användare konfigurerar en FTP-server för sina Wyse-enheter för att ladda ner uppdateringar, inklusive firmware, paket och inställningar. Säkerhetsforskare från cybersäkerhetsföretaget CyberMDX, som fokuserar på sjukvårdsindustrin, fann dock att det var möjligt att komma åt nästan ett dussin Dell Wyse-tunna klienter via FTP utan inloggningsuppgifter med en användarprofil. De upptäckte också att endast firmware och paket är signerade, vilket innebär att en angripare kan använda INI-konfigurationsfiler för att rikta sig mot sårbara maskiner.