Vulnerabilità DNS e DHCP con Wyse ThinOS 8.6

Wyse ThinOS 8.6 potrebbe riscontrare una vulnerabilità con DNS e DHCP.

Sistemi operativi interessati:

• ThinOS 8.6

È stata segnalata una potenziale vulnerabilità relativa ai client ThinOS 8.6 compromessi modificando le opzioni DHCP. Ciò può consentire la ricezione di configurazioni client e certificati da un server di gestione non autorizzato o reindirizzare le comunicazioni VDI a un ambiente server VDI non autorizzato. Ciò non consente l'esecuzione di codice dannoso sul client Wyse ThinOS, né la modifica del sistema operativo del client ThinOS o dei componenti dei partner. I client ThinOS 8.6 protetti correttamente durante il processo di configurazione iniziale da un server di gestione non dovrebbero riscontrare questo problema. Inoltre, questa vulnerabilità può essere utilizzata per compromettere altri dispositivi endpoint (Dell o altro) che eseguono sistemi operativi Linux e Windows.

Le comunicazioni dell'ambiente di gestione (server) e VDI del cliente tramite connessioni https protette (SSL) con un controllo del certificato non vengono compromesse. La modifica del solo certificato client comporta errori SSL quando si tenta di effettuare connessioni SSL ai server del cliente applicando la convalida del certificato durante il processo di connessione SSL. Questo exploit consente solo di compromettere le comunicazioni reindirizzandole a server VDI o di gestione non autorizzati sotto il controllo del singolo tentativo di exploit.

Questo problema può verificarsi quando:

1. Un server DNS o DHCP non autorizzato presenta un URL Wyse Management Suite o file server non autorizzato configurato nelle opzioni di configurazione.
2. Al primo avvio, i thin client individuano gli URL di Wyse Management Suite o del file server non autorizzati per ricevere le configurazioni.
3. Il file server o il server Wyse Management Suite non autorizzato fornisce quindi configurazioni e certificati client manipolativi. In alternativa, il server può essere reindirizzato ad ambienti server VDI non autorizzati.

Qual è la causa principale?

Protocolli DNS e DHCP non protetti.

Qual è l'impatto?

I client ThinOS 8.6 che compromessi da comunicazioni con Wyse Management Suite o un file server non autorizzati potrebbero:

• Leggere configurazioni e certificati imprevisti.
• Puntare ad ambienti server VDI imprevisti.

Tuttavia, questo impatto non consente l'esecuzione di un codice malevole all'interno di un thin client ThinOS 8.6.

In che modo viene attenuata questa vulnerabilità?

Dalla build 8.6_710 di ThinOS e versioni successive, le seguenti configurazioni INI per il rilevamento dei thin client vengono disabilitate dopo aver ricevuto la configurazione iniziale da Wyse Management Suite. Si tratta di un comportamento predefinito, a meno che non sia abilitato in modo esplicito da un utente nell'impostazione INI.

SecurityPolicy=Full/warning/low DNSFileServerDiscover=No

In questo modo si disabilita DNSFileServerDiscover e il server FTP riservato non viene contattato dopo la ricezione delle configurazioni iniziali.

WMSEnable=Yes Discover=No

In questo modo viene disabilitata l'individuazione dei server di gestione dai record DNS. Il thin client ignora eventuali alterazioni degli URL del server di gestione nei record DNS dopo la ricezione delle configurazioni iniziali.

DHCPOptionsRemap=yes Discover=No

In questo modo viene disabilitata l'individuazione del file server o del server di gestione dalle opzioni DHCP. Eventuali modifiche agli URL del file server o del server di gestione nelle opzioni DHCP verranno ignorate dopo la ricezione delle configurazioni iniziali.

Suggerimenti per la connettività protetta

Si consiglia ai clienti di ThinOS 8.6 di seguire le seguenti best practice per ThinOS 8.6 per evitare questa potenziale vulnerabilità:

• Assicurarsi che tutti i server VDI e di gestione del cliente utilizzino comunicazioni HTTPS (SSL) che applicano una rigorosa convalida del certificato.
• Assicurarsi che il server di gestione (da cui ThinOS riceve le configurazioni dei dispositivi) applichi la convalida del certificato ThinOS durante la connessione ai server di gestione e ai server VDI. A tale scopo, impostare le impostazioni INI (WMS Advanced) su SecurityPolicy=Full dopo la ricezione delle configurazioni iniziali da Wyse Management Suite.