Os pesquisadores da Check Point Software Technologies identificaram falhas de segurança no Apache Guacamole, uma das infraestruturas de TI mais populares do mundo para trabalho remoto. Com mais de 10 milhões de downloads, o software gratuito e de código aberto permite que os funcionários remotos acessem a rede de computadores da empresa de qualquer lugar, usando apenas um navegador da web. O Apache Guacamole é executado em muitos dispositivos, incluindo smartphones e tablets, dando aos usuários remotos \"acesso constante, global e sem restrições aos seus computadores\", de acordo afirmação dos criadores do software.

Embora o Apache Guacamole seja popular, os pesquisadores da Check Point descobriram que alguns dos elementos do programa não atendiam aos padrões de segurança exigidos. Em particular, era exposto a várias vulnerabilidades críticas do Remote Desktop Protocol (RDP) reverso e afetado por diversas novas vulnerabilidades encontradas no FreeRDP. Em particular, todas as versões do Guacamole lançadas antes de janeiro de 2020 estão utilizando versões vulneráveis do FreeRDP.

“Em nossa análise, demonstramos que um agente de ameaças com acesso a um computador dentro de uma organização pode executar um ataque RDP reverso, no qual um PC remoto infectado com determinado malware assume um cliente que tenta se conectar para isso. Nesse caso, o ataque RDP reverso permitiria que um agente de ameaças assumisse o controle do gateway Apache Guacamole que lida com todas as sessões remotas em uma rede”, explica Eyal Itkin, pesquisador de vulnerabilidades da Check Point.

Assim, essas vulnerabilidades permitiriam que um atacante, ou qualquer outra pessoa má intencionada que comprometesse com êxito um computador dentro da organização, atacasse de volta pelo gateway Guacamole quando um usuário incauto se conectasse à sua máquina infectada. Isso possibilita que um agente mal-intencionado obtenha controle total sobre o servidor Guacamole e intercepte e controle todas as outras sessões conectadas.

Uma vez no controle do gateway, um atacante pode espionar todas as sessões recebidas, registrar todas as credenciais usadas e até controlar outras sessões dentro da organização. Os pesquisadores da Check Point dizem que essa posição é equivalente a ganhar controle total sobre toda a rede corporativa.

Os pesquisadores examinaram dois vetores de ataque:

● Cenário de ataque reverso: uma máquina comprometida dentro da rede corporativa alavancará a conexão boa de entrada e atacará de volta pelo gateway Apache com o objetivo de assumi-la.
● Cenário de usuário mal-intencionado: um funcionário não autorizado usa um computador dentro da rede para aproveitar sua retenção nas duas extremidades da conexão e assumir o controle do gateway.

“Apesar de a transição global para o trabalho remoto seja uma necessidade nesses tempos difíceis, não devemos negligenciar as implicações de segurança dessas conexões remotas, especialmente quando entramos na era pós-Coronavírus. Esta análise demonstra como uma rápida mudança no cenário social afeta diretamente nas ações pelas quais os atacantes podem concentrar seus esforços que, nesse caso, é um trabalho remoto. O fato de cada vez mais empresas externalizarem muitos serviços usados internamente têm aberto uma série de novas superfícies de ataques em potencial para os cibercriminosos. A recomendação às organizações é manterem seus servidores sempre atualizados para proteger suas forças de trabalho remotas”, relata Omri Herscovici, diretor da equipe de pesquisa de vulnerabilidades da Check Point.

Correções Apache
A Check Point divulgou as vulnerabilidades para Apache & FreeRDP, os mantenedores do Guacamole, que as corrigiu e emitiu 2 CVE-IDs para as vulnerabilidades relatadas em junho de 2020. Os pesquisadores da divisão Check Point Research informaram com responsabilidade suas descobertas à fundação Apache em 31 de março.

Para mais informações sobre essa análise e pesquisa, acesse o site:
http://research.checkpoint.com/guacamole