Самый успешный документ в истории. Его не существует.
Image

Антипов про самый живучий фейк в истории. Спойлер: дело не в евреях

Фейк без единого оригинального предложения пережил две мировые войны, холодную войну и интернет. 46% взрослого населения планеты до сих пор держит в голове хотя бы один миф из этого текста. Разбираю, как работает машина, которую давно остановили, но никто не заметил.

Просто оставьте поле пустым. Одна ошибка в коде Dell позволила хакерам захватить серверы

9167
Dell Wyse Management Suite уязвимости удаленное выполнение кода Positive Technologies CVE-2026-22765
Просто оставьте поле пустым. Одна ошибка в коде Dell позволила хакерам захватить серверы
Dell Wyse Management Suite уязвимости удаленное выполнение кода Positive Technologies CVE-2026-22765

Как исследователь из России взломал Dell через «безопасную» зону.

image

Исследователь из Positive Technologies обнаружил цепочку уязвимостей в Dell Wyse Management Suite, позволяющую неаутентифицированному злоумышленнику удаленно выполнить произвольный код на сервере. Проблема затрагивает локальную версию продукта (On-Prem), предназначенного для управления парком тонких клиентов Dell. Компания Dell выпустила исправление в версии 5.5, вышедшей 23 февраля 2026 года.

Как следует из технического разбора, опубликованного исследователем Александром Журнаковым в блоге PT SWARM, атака строится на последовательной эксплуатации нескольких уязвимостей, каждая из которых по отдельности не дает критического результата, но в совокупности приводит к полной компрометации системы.

В ходе исследования были выявлены две уязвимости с присвоенными идентификаторами: CVE-2026-22765 с оценкой 8.8 по шкале CVSS, позволяющая повысить привилегии, и CVE-2026-22766 с оценкой 7.2, открывающая возможность удаленного выполнения кода при наличии административного доступа.

Точкой входа в атаку служит механизм регистрации устройств. В локальной версии WMS с настройками по умолчанию допускается регистрация устройства без указания группового токена. Такое устройство попадает в карантинную группу и формально не получает привилегий, однако ему присваиваются идентификаторы, позволяющие формировать подписанные API-запросы.

Через эти запросы исследователь получил доступ к эндпоинтам импорта пользователей Active Directory, которые, согласно документации Dell, доступны только в платной Pro-версии. На практике бесплатная Standard-версия также обрабатывала вызовы к этим маршрутам. С помощью трех последовательных API-запросов удалось создать группу ролей, назначить ей административные права и импортировать нового пользователя с полными привилегиями администратора.

Пароль при импорте генерируется автоматически и не раскрывается, однако ограничение удалось обойти через механизм сброса пароля. Приложение блокирует сброс для пользователей Active Directory, проверяя заполненность определенных полей учетной записи. Если при импорте оставить поле AdUPN пустым, проверка не срабатывает, и на указанный внешний адрес электронной почты отправляется ссылка для смены пароля.

Получив административный доступ, исследователь изменил путь локального файлового репозитория WMS на корневую директорию веб-приложения Tomcat, где поддерживается выполнение JSP. После перезапуска сервиса Tomcat, инициированного через административный API, загруженный JSP-файл стал доступен для исполнения, что дало возможность выполнять произвольные команды на сервере.

Журнаков сообщил об уязвимостях Dell 24 декабря 2025 года. Вендор подтвердил проблему 30 декабря, а 25 февраля 2026 года опубликовал CVE и соответствующие рекомендации. Технический разбор был опубликован 23 марта 2026 года после согласования с Dell