esenfrdeitptru

Corrección de vulnerabilidades críticas en la popular puerta de enlace de escritorio remoto de Apache Guacamole

Fecha: 3 de julio de 2020

Prioridad: Alta

Resumen:

Hace unos pocos meses, para la mayoría de nosotros la rutina diaria de trabajo implicaba ir a la oficina y trabajar en las computadoras corporativas, o conectar nuestros portátiles directamente a la red corporativa. De vez en cuando, teníamos la necesidad de un acceso especial a la red mientras ya sea a través de una VPN o utilizando una de las muchas herramientas para la conectividad remota.

Pero como todos sabemos, ahora estamos en la etapa de la "nueva normalidad" post-Covid-19, y como muchos haciendo la mayor parte de trabajo desde casa. Y Check Point no es una excepción.

La preparación inicial para transferir a nuestros más de 5000 empleados al trabajo remoto comenzó a mediados de febrero de 2020, durante los primeros signos de que el virus estaba empezando a propagarse a nivel mundial. Durante este proceso de preparación, explica Jonathan Fischbein, CISO en Check Point , el primer paso fue reevaluar las soluciones de TI que estaban destinadas a permitir que los empleados se conecten de forma segura a la red corporativa de forma remota, simultáneamente y sin problemas. Era fundamental que al habilitar el trabajo a distancia en masa no se inserten nuevas vulnerabilidades ni que aumente la superficie general de ataque de la red de Check Point

Escogimos dos soluciones de acceso remoto diferentes, por lo que en caso de que fallemos, tendríamos redundancia y una alternativa que permitiría que el trabajo continúe", dice Fischbein, "Una de las soluciones se basaba en Apache Guacamole de código abierto, la popular puerta de enlace de escritorio remoto sin cliente que admite protocolos estándar como VNC, RDP y SSH, junto con MFA (Multi Factor Authentication), comprobaciones de cumplimiento en el lado de BYOD , y varios controles de seguridad como IPS, detecciones de anomalías SOC y muchos más.

Sin embargo, la parte crítica de la solución que podría no estar segura era el servidor guacamole de Apache de código abierto. Se necesitaba asegurar de que esta solución de código abierto fuera lo suficientemente segura para cumplir con nuestros requisitos y estándares de seguridad, al tiempo que permitía al personal trabajar eficazmente. Así que antes de implementar la solución, comenzamos a investigar su seguridad.

Mientras que Apache Guacamole es popular, con más de 10 millones de sus descargas de docker en todo el mundo, los investigadores de Check Point encontraron que algunos de los ingredientes de Guacamole no cumplían con los estándares de seguridad requeridos. En particular, tiene varias vulnerabilidades críticas de RDP inverso inverso, afectado por múltiples vulnerabilidades nuevas encontradas en FreeRDP. En particular, todas las versiones de Guacamole que fueron lanzadas antes de enero de 2020 están utilizando versiones vulnerables de FreeRDP.

Estas vulnerabilidades permitirían a un atacante comprometer con éxito un equipo dentro de la organización, atacar de nuevo a través de la puerta de enlace de Guacamole cuando un trabajador desprevenido se conecta a su máquina infectada. Esto permite a un actor malintencionado lograr un control total sobre el servidor de Guacamole, e interceptar y controlar todas las demás sesiones abiertas.

Nuestra investigación examinó 2 vectores de ataque:

1. Escenario de ataque inverso (reverse attack): Una máquina comprometida dentro de la red corporativa aprovechará la conexión benigna entrante y atacará de nuevo a través de la puerta de enlace.
2. Escenario de trabajador malintencionado: Un empleado malintencionado, junto con su equipo malicioso dentro de la red, puede aprovechar su control en ambos extremos de la conexión con el fin de hacerse cargo de la puerta de enlace. Después de que nuestros investigadores descubrieran la vulnerabilidad y lo notificaran, fue también notificado el equipo Apache", dice Fischbein, "Colaboramos y simulamos una POC en nuestro entorno de ensayo para aplicar el parche. Dentro de las 24 horas posteriores a la búsqueda y las pruebas, implementamos la solución de seguridad y nos convertimos en el primer entorno de producción que se aseguró contra esta vulnerabilidad de seguridad, garantizando así que nuestros empleados puedan conectarse de forma remota segura.

Referencias:


https://blog.checkpoint.com/2020/07/02/hole-y-guacamole-fixing-critical-vulnerabilities-in-apaches-popular-remote-desktop-gateway/

https://www.infosecurity-magazine.com/news/vulnerabilities-apache-remote/

https://securityaffairs.co/wordpress/105448/hacking/apache-guacamole-rdp-flaws.html

https://thehackernews.com/2020/07/apache-guacamole-hacking.html

https://go.theregister.com/feed/www.theregister.com/2020/07/02/apache_guacamole_vulns_hijackable_rdp/