Les failles critiques d’Apache Guacamole exposent les postes de travail distants au piratage

Une nouvelle recherche a découvert plusieurs vulnérabilités critiques de RDP inverse dans Apache Guacamole, une application de bureau à distance populaire utilisée par les administrateurs système pour accéder et gérer à distance les machines Windows et Linux.

Les failles signalées pourraient potentiellement permettre aux mauvais acteurs d’obtenir un contrôle total sur le serveur Guacamole, d’intercepter et de contrôler toutes les autres sessions connectées.

Selon un rapport publiée par Check Point Research et partagée avec The Hacker News, les failles permettent «à un attaquant, qui a déjà réussi à compromettre un ordinateur à l’intérieur de l’organisation, de lancer une attaque sur la passerelle Guacamole lorsqu’un travailleur sans méfiance tente de se connecter à une machine infectée. « 

Après que la société de cybersécurité eut divulgué de manière responsable ses conclusions à Apache, les responsables de Guacamole, le 31 mars, la société a publié un version corrigée en juin 2020.

Apache Guacamole est une solution de passerelles de bureau à distance sans client open source populaire. Lorsqu’il est installé sur le serveur d’une entreprise, il permet aux utilisateurs de se connecter à distance à leur bureau simplement en utilisant un navigateur Web après un processus d’authentification.

Notamment, l’application de bureau à distance Apache Guacamole s’est amassée 10 millions de téléchargements à ce jour sur Docker Hub.

Faille de corruption de mémoire à RCE

Les attaques proviennent de l’une des deux manières possibles de prendre le contrôle de la passerelle: soit par une machine compromise à l’intérieur du réseau de l’entreprise qui exploite une connexion entrante bénigne pour attaquer la passerelle Apache, soit par un employé non autorisé qui utilise un ordinateur à l’intérieur du réseau pour pirater. la passerelle.

L’équipe de Check Point a déclaré avoir identifié les failles dans le cadre du récent audit de sécurité de Guacamole, qui a également ajouté la prise en charge de FreeRDP 2.0.0 vers la fin du mois de janvier 2020.

Cela vaut la peine de souligner que FreeRDP, un client RDP open source, avait sa propre part de défauts d’exécution de code à distance, qui ont été divulgués au début de l’année dernière suite à la sortie de 2.0.0-rc4.

« Sachant que les vulnérabilités de FreeRDP n’ont été corrigées que sur la version 2.0.0-rc4, cela signifie que toutes les versions publiées avant janvier 2020 utilisent des versions vulnérables de FreeRDP », a déclaré Eyal Itkin, chercheur chez Check Point.

Voici un bref résumé de toutes les failles découvertes:

• Vulnérabilités de divulgation d’informations (CVE-2020-9497) – Deux failles distinctes ont été identifiées dans l’implémentation personnalisée par les développeurs d’un canal RDP utilisé pour gérer les paquets audio du serveur (« rdpsnd »). La première des deux failles permet à un attaquant de créer un message rdpsnd malveillant qui pourrait conduire à une lecture hors limites similaire à Heartbleed. Un deuxième bogue dans le même canal est une fuite de données qui transmet les données hors limites à un client connecté.

Le troisième bogue de divulgation d’informations est une variante de la faille susmentionnée qui réside dans un canal différent appelé «guacai», responsable de l’entrée audio et est désactivé par défaut.

• Lectures hors limites dans FreeRDP – Cherchant à trouver une vulnérabilité de corruption de mémoire qui pourrait être exploitée pour exploiter les fuites de données ci-dessus, Check Point a déclaré avoir découvert deux instances supplémentaires de lectures hors limites qui tirent parti d’une faille de conception dans FreeRDP.

• Faille de corruption de la mémoire à Guacamole (CVE-2020-9498) – Cette faille, présente dans une couche d’abstraction (« guac_common_svc.c ») posée sur les canaux rdpsnd et rdpdr (Device Redirection), provient d’une violation de sécurité mémoire, entraînant un pointeur suspendu qui permet à un attaquant de réaliser l’exécution de code en combinant les deux failles.

Les vulnérabilités d’utilisation après la libération sont des bogues de corruption de mémoire qui se produisent généralement lorsqu’une application tente d’utiliser l’espace mémoire qui ne lui est plus attribué. Cela provoque généralement le plantage d’un programme, mais peut aussi parfois entraîner d’autres conséquences inattendues, telles que l’exécution de code qui peut être exploitée par des acteurs malveillants.

En utilisant les vulnérabilités CVE-2020-9497 et CVE-2020-9498, « un ordinateur d’entreprise malveillant (notre ‘serveur’ RDP) peut prendre le contrôle du processus guacd lorsqu’un utilisateur distant demande à se connecter à son ordinateur (infecté) », a déclaré Itkin.

Un cas d’escalade de privilèges

Plus inquiétant, Check Point a constaté qu’il était possible de prendre le contrôle de toutes les connexions de la passerelle à partir d’un seul processus guacd, qui s’exécute sur le serveur Guacamole pour gérer les connexions à distance au réseau de l’entreprise.

En plus de contrôler la passerelle, cette élévation de privilèges permet à un attaquant d’écouter toutes les sessions entrantes, d’enregistrer les informations d’identification utilisées et même de démarrer de nouvelles sessions pour contrôler le reste des ordinateurs de l’organisation.

«Alors que la transition vers le travail à distance depuis la maison est une nécessité en ces temps difficiles de la pandémie COVID-19, nous ne pouvons pas négliger les implications sécuritaires de ces connexions à distance», a conclu Itkin. «Lorsque la majeure partie de l’organisation travaille à distance, cette implantation équivaut à prendre le contrôle total de l’ensemble du réseau organisationnel.

« Nous recommandons vivement à tout le monde de s’assurer que tous les serveurs sont à jour et que toute technologie utilisée pour travailler à domicile soit entièrement corrigée pour bloquer de telles tentatives d’attaque. »