Falhas em desktop remoto do Apache levam a domínio da rede

Vulnerabilidades no Guacamole permitem ‘escuta’ de sessões, leitura de credenciais e controle de computadores dentro de uma organização
Da Redação
02/07/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Duas vulnerabilidades críticas de segurança foram encontradas no Guacamole, um gateway de trabalho remoto em código aberto, que funciona em servidor Apache. Registradas como CVE-2020-9498 e CVE-2020-9497, elas permitem a ‘escuta’ de sessões remotas, registro de credenciais usadas e controle de computadores dentro de uma organização. A descoberta foi feita por pesquisadores da Check Poiont Research em março e informada à Fundação Apache, que publicou a correção no final de junho.

O Guacamole é uma solução que suporta todos os protocolos padrão de operação remoata, como VNC, RDP e SSH, e já foi baixada 10 milhões de vezes. O software é gratuito e de código aberto, permitindo que funcionários em trabalho remoto acessem a rede de computadores de uma empresa de qualquer lugar, usando para isso apenas um navegador da web. O Apache Guacamole, segundo comunicado da CPR distribuído esta manhã, é executado em muitos dispositivos, incluindo smartphones e tablets, dando aos usuários remotos “acesso constante, global e sem restrições aos seus computadores”.

Veja isso
Vulnerabilidades de software de código aberto sobem 130%
Sobe número de ataques contra redes nas Américas

Eyal Itkin, pesquisador de vulnerabilidades da Check Point, comprovou que um agente de ameaças com acesso a um computador dentro de uma organização pode executar um ataque RDP reverso, no qual um PC remoto infectado com determinado malware assume o controle de um cliente que tenta se conectar para isso. Nesse caso, o ataque RDP reverso permitiria que o agente de ameaças assumisse o controle do gateway Apache Guacamole, que lida com todas as sessões remotas em uma rede.

“Uma vez no controle do gateway, um invasor pode espionar todas as sessões recebidas, registrar todas as credenciais usadas e até controlar outras sessões dentro da organização”, afirmou. Os pesquisadores da Check Point dizem que essa posição é equivalente a ganhar controle total sobre toda a rede organizacional.

Omri Herscovici, líder da equipe de pesquisa de vulnerabilidades da Check Point, diz que “embora a transição global para o trabalho remoto seja uma necessidade nesses tempos difíceis, não devemos negligenciar as implicações de segurança dessas conexões remotas, especialmente quando entramos na era pós-corona. Esta pesquisa demonstra como uma rápida mudança no cenário social afeta diretamente em que os atacantes podem concentrar seus esforços. Nesse caso, é um trabalho remoto. O fato de mais e mais empresas externalizarem muitos serviços usados ​​internamente para o mundo externo abre uma série de novas superfícies de ataque em potencial para os atores de ameaças. Peço fortemente que empresas e organizações mantenham seus servidores atualizados para proteger suas forças de trabalho remotas”.

A CPR publicou um vídeo da prova de conceito que você pode ver abaixo:

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório