Os investigadores da Check Point Software identificaram várias falhas de segurança no Apache Guacamole, uma das mais populares infraestruturas de TI para trabalho remoto mais popular no mundo. Com mais de 10 milhões de downloads, este software gratuito open source permite aos trabalhadores remotos aceder à rede computacional da empresa a partir de qualquer parte, usando somente um navegador (browser) de internet. O Apache Guacamole pode correr em múltiplos dispositivos, incluindo em telemóveis e tablets, dando aos trabalhadores remotos “um acesso constante, global e irrestrito aos seus computadores”, segundo os criadores deste software.
Eyal Itkin, uma dos investigadores de vulnerabilidades da Check Point, demonstrou como um delinquente com acesso a um computador dentro de uma organização pode executar um ataque RDP invertido, ataque este em que um determinado PC remoto infetado com alguns tipos de malware pode tomar conta de um cliente e assim tentar conectar-se a ele. Neste caso, o ataque RDP invertido permite ao cibercriminoso controlar a gateway do Apache Guacamole que gere todas as sessões remotas numa remota.
Uma vez no controlo da gateway, o atacante pode visualizar todas as sessões abertas, gravar as credenciais utilizadas, e até controlar outras sessões dentro da organização. Os investigadores da Check Point indicam que esta situação equivale a tomar o controlo total de toda a rede corporativa de uma organização.
Dois Vetores de Ataque
Os investigadores da Check Point classificaram estas suas conclusões em dois vetores de ataque:
- Cenário de Ataque Invertido: Uma máquina comprometida dentro da rede corporativa permite o início da conexão de um ataque à gateway Apache, com o objetivo de tomar o seu controlo.
- Cenário de Trabalhador Malicioso: um empregado mal intencionado utiliza o seu computador dentro da rede para controlar os dois pontos de ligação e ganhar o controlo sobre a gateway.
“Enquanto a necessidade de transitar para o trabalho remote é uma necessidade nos tempos que correm, não Podemos negligenciar as implicações de segurança deste tipo de conexões remotas, especialmente quando entramos numa era pós-coronavírus. Esta nossa investigação demostra claramente como uma mudança rápida no panorama social afeta diretamente o foco dos esforços dos atacantes. Neste caso, o trabalho remoto. De facto, cada vez mais empresas estão a externalizar muitos serviços internos, o que abre um enorme número de potenciais espaços de vetores de ataque para estes cibercriminosos. Recomendo às empresas a manterem o software dos seus servidores atualizados para protegerem as suas forças de trabalho remotas.” refere Omri Herscovici, Vulnerability Research Team Leader da Check Point
A Check Point Research de forma responsável alertou a Apache, gestores do Guacamole, a 31 de Março. A Apache lançou uma versão de atualização em Junho de 2020.
Comentários