CyberMDXは12月21日(米国時間)、「Dell Wyse ThinOS Vulnerability」において、Dell Wyseシンクライアントデバイスに2つの緊急の脆弱性が存在すると伝えた。この脆弱性を悪用されると、リモートから攻撃者によって悪意あるコードを実行される可能性があり、結果として影響を受けるデバイス上の任意のファイルにアクセスされる危険性があるとされている。この脆弱性は2つとも脆弱性スコアが最高値の10と判定されており注意が必要。
脆弱性が存在するとされるプロダクトはThinOSバージョン8.6およびこれよりも前のバージョンを実行しているすべてのDell Wyseシンクライアントデバイスとされている。対象のプロダクトおよびバージョンは次のとおり。
- Wyse 3020 ThinOS 8.6およびこれよりも前のすべてのバージョン(執筆時点での最新版)
- Wyse 3030 LT ThinOS 8.6およびこれよりも前のすべてのバージョン(執筆時点での最新版)
- Wyse 3040 ThinOS 8.6およびこれよりも前のすべてのバージョン
- Wyse 5010 ThinOS 8.6およびこれよりも前のすべてのバージョン(執筆時点での最新版)
- Wyse 5040 AIO ThinOS 8.6およびこれよりも前のすべてのバージョン(執筆時点での最新版)
- Wyse 5060 ThinOS 8.6およびこれよりも前のすべてのバージョン(執筆時点での最新版)
- Wyse 5070 ThinOS 8.6およびこれよりも前のすべてのバージョン
- Wyse 5070 Extended ThinOS 8.6およびこれよりも前のすべてのバージョン
- Wyse 5470 ThinOS 8.6およびこれよりも前のすべてのバージョン
- Wyse 5470 AIO ThinOS 8.6およびこれよりも前のすべてのバージョン
- Wyse 7010 ThinOS 8.6およびこれよりも前のすべてのバージョン(執筆時点での最新版)
CyberMDXが上記セキュリティアドバイザリを公開した段階では、上記プロダクトのうち次のプロダクトはバージョン9系が公開されており、CyberMDXはバージョン9系へアップグレードすることを推奨している。
- Wyse 3040
- Wyse 5070
- Wyse 5070 Extended
- Wyse 5470
- Wyse 5470 AIO
バージョン9系が提供されていないプロダクトはFTPの使用を無効に設定することが推奨されている。
Wyseは1981年に設立された企業。1990年代からシンクライアントの開発を開始。2012年にはDellに買収され、社名がDell Wyseへと変更された。現在ではヘルスケアプロバイダを含め6000ほどの企業や組織がDell Wyseシンクライアントを使っていると推定されている。