Faille de sécurité DNS et DHCP avec Wyse ThinOS 8.6

Wyse ThinOS 8.6 peut rencontrer une faille de sécurité avec DNS et DHCP.

Systèmes d’exploitation concernés :

• ThinOS 8.6

Une faille de sécurité potentielle a été signalée concernant les clients ThinOS 8.6 compromis par la modification des options DHCP. Cela peut permettre la réception de certificats et de configurations client provenant d’un serveur de gestion non fiable ou la redirection des communications VDI vers un environnement de serveur VDI non autorisé. Cela ne permet pas l’exécution de code malveillant sur le client Wyse ThinOS, ni la modification du système d’exploitation du client ThinOS ou des composants partenaires. Les clients ThinOS 8.6 correctement sécurisés lors du processus de configuration initiale à partir d’un serveur de gestion ne doivent pas rencontrer ce problème. En outre, cette faille de sécurité peut être utilisée pour compromettre d’autres appareils de point de terminaison (Dell ou autre) exécutant des systèmes d’exploitation Linux et Windows.

Les communications VDI du client et de l’environnement de gestion (serveur) à l’aide de connexions https sécurisées (SSL) avec une vérification de certificat ne sont pas compromises. La modification du certificat client entraîne uniquement des échecs SSL lors de la tentative de connexions SSL aux serveurs clients en appliquant la validation de certificat pendant le processus de connexion SSL. Cet exploitation permet uniquement de compromettre les communications en les redirigeant vers des serveurs VDI ou de gestion malveillants sous le contrôle de la personne qui tente l’exploitation.

Ce problème peut se produire dans les cas suivants :

1. Un serveur DNS ou DHCP malveillant dispose d’une URL malveillante de Wyse Management Suite ou de serveur de fichiers configurée dans ses options de configuration.
2. Lors du premier démarrage, les clients légers découvrent les URL malveillantes Wyse Management Suite ou de serveur de fichiers pour recevoir les configurations.
3. Le serveur de fichiers malveillant ou le serveur Wyse Management Suite fournit ensuite des configurations de manipulation et des certificats client. Sinon, il peut rediriger vers des environnements de serveurs VDI malveillants.

Quelle en est la cause ?

Protocoles DNS et DHCP non sécurisés.

Quel est l’impact ?

Les clients ThinOS 8.6 qui ont été compromis en communiquant avec un serveur de fichiers ou une suite Wyse Management Suite malveillante peuvent :

• Lire les configurations et certificats inattendus.
• Pointez vers des environnements de serveurs VDI inattendus.

Toutefois, cet impact ne permet pas l’exécution d’un code malveillant à l’intérieur d’un client léger ThinOS 8.6.

Comment cette faille de sécurité est-elle atténuée ?

À partir de ThinOS build 8.6_710 et plus, les configurations de découverte des clients légers INI suivantes sont désactivées après avoir reçu la configuration initiale de Wyse Management Suite. Il s’agit d’un comportement par défaut, sauf si cela est explicitement activé par un utilisateur dans l’INI.

SecurityPolicy=Full/warning/low DNSFileServerDiscover=No

Cela désactive DNSFileServerDiscover et ne contacte pas le serveur FTP réservé après réception des configurations initiales.

WMSEnable=Yes Discover=No

Cela désactive la découverte du serveur de gestion à partir des enregistrements DNS. Le client léger ignore les modifications apportées aux URL du serveur de gestion dans les enregistrements DNS après réception des configurations initiales.

DHCPOptionsRemap=yes Discover=No

Cela désactive la découverte du serveur de fichiers ou du serveur de gestion à partir des options DHCP. Toute modification des URL du serveur de fichiers ou du serveur de gestion dans les options DHCP sera ignorée après la réception des configurations initiales.

Recommandations pour une connectivité sécurisée

Il est recommandé aux clients ThinOS 8.6 de suivre les pratiques d’excellence ThinOS 8.6 suivantes pour éviter cette faille de sécurité potentielle :

• Assurez-vous que tous les serveurs VDI et de gestion du client utilisent des communications https (SSL) qui appliquent une validation stricte des certificats.
• Assurez-vous que le serveur de gestion (à partir duquel ThinOS reçoit les configurations d’appareils) applique la validation de certificat ThinOS lors de la connexion aux serveurs de gestion et aux serveurs VDI. Pour ce faire, définissez les paramètres INI (WMS avancés) sur SecurityPolicy=Full une fois les configurations initiales reçues de Wyse Management Suite.