Duas vulnerabilidades críticas de segurança foram encontradas no Guacamole, um gateway de trabalho remoto em código aberto, que funciona em servidor Apache. Registradas como CVE-2020-9498 e CVE-2020-9497, elas permitem a ‘escuta’ de sessões remotas, registro de credenciais usadas e controle de computadores dentro de uma organização. A descoberta foi feita por pesquisadores da Check Poiont Research em março e informada à Fundação Apache, que publicou a correção no final de junho.
O Guacamole é uma solução que suporta todos os protocolos padrão de operação remoata, como VNC, RDP e SSH, e já foi baixada 10 milhões de vezes. O software é gratuito e de código aberto, permitindo que funcionários em trabalho remoto acessem a rede de computadores de uma empresa de qualquer lugar, usando para isso apenas um navegador da web. O Apache Guacamole, segundo comunicado da CPR distribuído esta manhã, é executado em muitos dispositivos, incluindo smartphones e tablets, dando aos usuários remotos “acesso constante, global e sem restrições aos seus computadores”.
Veja isso
Vulnerabilidades de software de código aberto sobem 130%
Sobe número de ataques contra redes nas Américas
Eyal Itkin, pesquisador de vulnerabilidades da Check Point, comprovou que um agente de ameaças com acesso a um computador dentro de uma organização pode executar um ataque RDP reverso, no qual um PC remoto infectado com determinado malware assume o controle de um cliente que tenta se conectar para isso. Nesse caso, o ataque RDP reverso permitiria que o agente de ameaças assumisse o controle do gateway Apache Guacamole, que lida com todas as sessões remotas em uma rede.
“Uma vez no controle do gateway, um invasor pode espionar todas as sessões recebidas, registrar todas as credenciais usadas e até controlar outras sessões dentro da organização”, afirmou. Os pesquisadores da Check Point dizem que essa posição é equivalente a ganhar controle total sobre toda a rede organizacional.
Omri Herscovici, líder da equipe de pesquisa de vulnerabilidades da Check Point, diz que “embora a transição global para o trabalho remoto seja uma necessidade nesses tempos difíceis, não devemos negligenciar as implicações de segurança dessas conexões remotas, especialmente quando entramos na era pós-corona. Esta pesquisa demonstra como uma rápida mudança no cenário social afeta diretamente em que os atacantes podem concentrar seus esforços. Nesse caso, é um trabalho remoto. O fato de mais e mais empresas externalizarem muitos serviços usados internamente para o mundo externo abre uma série de novas superfícies de ataque em potencial para os atores de ameaças. Peço fortemente que empresas e organizações mantenham seus servidores atualizados para proteger suas forças de trabalho remotas”.
A CPR publicou um vídeo da prova de conceito que você pode ver abaixo:
