Dell Wyse Management Suite Cihazlarında Birden Fazla Güvenlik Zafiyeti Tespit Edildi

Dell Wyse Management Suite (WMS) ürünlerinde veritabanlarını ve yönetici oturumlarını riske atan iki adet güvenlik zafiyeti tespit edilmiştir. (Referans Linki)

CVE-2021-21586 kodu ile izlenen Dizin Geçişi (Path Traversal) güvenlik zafiyeti, kimliği doğrulanmamış bir tehdit aktörünün, “/ccm-web/image/os” endpoint’inin “filePath” ve “fileName” parametrelerini kabul etmesinden faydalanarak hedef sistemden dosya ele geçirmesine neden olmaktadır. CVE-2021-21587 kodu ile izlenen diğer bir zafiyetin ise, “ccm-web/image/pull endpoint’inin hata mesajı yoluyla ürünün kurulduğu yeri ve yolunu ortaya çıkardığından daha fazla istismara yol açtığı tespit edilmiştir. Tehdit aktörleri, yazılımın yükleme yoluna istekte bulunarak MySQL veritabanından yöneticilerinki de dâhil olmak üzere oturum açma bilgilerini ele geçirebilmektedir. Ek olarak tehdit aktörleri, BIOS parolalarını sıfırlama ve sanal ağ bilgi işlem yazılımı (VNC) aracılığıyla terminalleri uzaktan gözlemleme işlevlerini de gerçekleştirebilmektedir.

Söz konusu zafiyetler Wyse Management Suite yazılımının 3.3’ten önceki sürümlerini etkilemektedir. Kritik siber saldırılardan etkilenmemek adına, zafiyetli sürümleri kullanmakta olan kullanıcıların zafiyetin giderildiği güncel sürümlere yükseltme yapmaları tavsiye edilmektedir.

Size nasıl yardımcı olalım?

İhtiyacınız olan her an Prisma danışmanları yanı başınızda. Bizimle 7/24 iletişime geçebilirsiniz.


    Brandefense ile siber saldırılara karşı önlem alın!