В сфере информационной безопасности особенно опасны те инциденты, когда для успешной атаки не требуется ни паролей, ни взаимодействия с пользователем. Недавно обнаруженная исследователем Александром Журнаковым из Positive Technologies (PT Security) цепочка уязвимостей в платформе Dell Wyse Management Suite - наглядный пример такого сценария. Она позволяет удалённому злоумышленнику без каких-либо учётных данных получить полный контроль над сервером управления, что ставит под угрозу всю инфраструктуру тонких клиентов, которую эта система администрирует.
Детали уязвимостей
Атака направлена на локальную (On-Premises) версию программного обеспечения, затрагивая как Standard, так и Pro редакции. Её ядро составляют две критические уязвимости, которые, будучи использованы последовательно, образуют полноценный путь для удалённого выполнения кода (RCE). Первая, CVE-2026-22765 с высоким рейтингом CVSS 8.8, открывает возможность для повышения привилегий удалённым атакующим с низким уровнем прав. Вторая, CVE-2026-22766 (CVSS 7.2), позволяет выполнить произвольный код уже от лица пользователя с высокими привилегиями. Вместе они создают непрерывную цепочку для полного компрометирования системы.
Эксплуатация начинается с неожиданно простого шага - регистрации нового устройства в системе. В конфигурации по умолчанию локальной версии ПО неаутентифицированный пользователь может зарегистрировать новое устройство, используя пустой групповой токен. Система помещает такое устройство в карантинную группу. Хотя устройства на карантине теоретически должны быть сильно ограничены в правах, они тем не менее получают валидные аутентификационные токены, которые можно использовать для взаимодействия с внутренними API (Application Programming Interface, программными интерфейсами приложения).
Получив доступ к системе на уровне устройства, атакующий переходит к следующему этапу - эксплуатации скрытых логических ошибок в функциях импорта пользователей из Active Directory (AD). Примечательно, что даже в Standard-редакции, где функции интеграции с Active Directory официально отключены, соответствующие API остаются активными и отвечают на запросы. Используя эти интерфейсы, злоумышленник может создать новую группу с правами администратора и назначить её вновь импортированному учётной записи пользователя.
Однако возникает проблема авторизации: пароль для новой учётной записи администратора генерируется автоматически и неизвестен атакующему. Для её решения исследователь обнаружил обходной путь через функцию сброса пароля. Манипулируя определёнными свойствами учётной записи (оставляя их пустыми), можно заставить систему воспринимать созданного администратора не как пользователя Active Directory, а как локального. После этого атакующий инициирует процедуру сброса пароля, в результате которой новые учётные данные отправляются на контролируемый им внешний электронный адрес. В средах с редакцией Pro возможен и альтернативный путь: привязка новой роли администратора к уже скомпрометированной учётной записи доменного пользователя, что позволяет войти в систему напрямую.
Обладая правами администратора, злоумышленник получает возможность финальной, самой разрушительной операции - загрузки вредоносного скрипта для получения удалённого доступа к командной строке сервера. Для этого он меняет путь к локальному файловому репозиторию системы, указывая его непосредственно на корневую папку веб-сервера Tomcat. После принудительной перезагрузки системы для очистки кэша атакующий загружает веб-оболочку (web shell) в формате JSP (JavaServer Pages). Как пояснил Александр Журнаков, этот метод позволяет обойти типичные фильтры безопасности файловых загрузок и предоставляет злоумышленнику возможность выполнять произвольные команды на сервере с максимальными привилегиями.
Последствия успешной эксплуатации таких уязвимостей в системе класса EMM/UEM (Enterprise Mobility Management / Unified Endpoint Management, платформа для централизованного управления конечными устройствами) крайне серьёзны. Злоумышленник получает контроль над сервером, который, в свою очередь, управляет потенциально тысячами тонких клиентов. Это открывает путь для масштабных атак: от установки программ-вымогателей на все конечные точки до кража конфиденциальных корпоративных данных и полной остановки рабочих процессов. Угроза особенно актуальна для организаций, использующих такие системы в критической инфраструктуре, здравоохранении или финансовом секторе.
Корпорация Dell оперативно отреагировала на обнаруженные проблемы. Все указанные уязвимости были устранены в версии Wyse Management Suite 5.5, о чём подробно сообщается в бюллетене безопасности DSA-2026-103. Администраторам, использующим локальные развёртывания данного ПО, настоятельно рекомендуется немедленно проверить текущую версию и обновиться до исправленного выпуска. Кроме того, в качестве временной меры до обновления можно рассмотреть ограничение сетевого доступа к интерфейсам администрирования системы только с доверенных IP-адресов, хотя это и не заменяет установку патча. Данный инцидент в очередной раз подчёркивает, что даже в сложных корпоративных продуктах безопасность может зависеть от комбинации, казалось бы, незначительных логических недочётов в разных модулях, что требует от специалистов по защите постоянной бдительности и своевременного применения обновлений.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-22766
- https://www.cve.org/CVERecord?id=CVE-2026-22766
- https://swarm.ptsecurity.com/business-logic-and-chains-unauthenticated-rce-in-dell-wyse-management-suite/
- https://www.dell.com/support/kbdoc/en-us/000429141/dsa-2026-103
