Investigadores de Check Point®
Software Technologies Ltd., un proveedor de
soluciones de ciberseguridad, identificaron agujeros de seguridad en Apache
Guacamole, una de las infraestructuras de TI más populares del mundo para el
trabajo remoto. Con más de 10 millones de descargas, el software gratuito y de
código abierto permite a los trabajadores remotos acceder a la red informática
de la empresa desde cualquier lugar, utilizando solo un navegador web. Apache
Guacamole se ejecuta en muchos dispositivos, incluidos teléfonos inteligentes y
tabletas, y brinda a los usuarios remotos "acceso constante, global y sin
restricciones a sus computadoras", según un comunicado de los creadores
del software.
Aunque Apache Guacamole es popular, los investigadores de
Check Point descubrieron que algunos elementos del programa no cumplían con los
estándares de seguridad requeridos. En particular, estuvo expuesto a varias
vulnerabilidades críticas en el Protocolo de escritorio remoto (RDP) inverso y
se vio afectado por varias vulnerabilidades nuevas que se encuentran en
FreeRDP. En particular, todas las versiones de Guacamole lanzadas antes de
enero de 2020 están utilizando versiones vulnerables de FreeRDP.
“En nuestro análisis, demostramos que un agente de amenaza
con acceso a una computadora dentro de una organización puede realizar un
ataque RDP inverso, en el cual una PC remota infectada con cierto malware se
hace cargo de un cliente que intenta conectarse a ella. En este caso, el ataque
RDP inverso permitiría a un agente de amenazas tomar el control de la puerta de
enlace Apache Guacamole que maneja todas las sesiones remotas en una red”,
explica Eyal Itkin, investigador de vulnerabilidades en Check Point.
Por lo tanto, estas vulnerabilidades permitirían a un
atacante, o cualquier otra persona malintencionada, comprometer con éxito una
computadora dentro de la organización, para atacar a través de la puerta de
enlace de Guacamole cuando un usuario incauto se conecta a su máquina
infectada. Esto permite que un agente malicioso obtenga el control total sobre
el servidor Guacamole e intercepte y controle todas las demás sesiones
conectadas.
Una vez que tiene el control de la puerta de enlace, un
atacante puede espiar todas las sesiones entrantes, registrar todas las
credenciales utilizadas e incluso controlar otras sesiones dentro de la
organización. Los investigadores de Check Point dicen que esta posición es
equivalente a obtener el control total sobre toda la red corporativa.
Los investigadores examinaron dos vectores de ataque:
● Escenario de ataque inverso: una máquina comprometida
dentro de la red corporativa aprovechará la buena conexión entrante y volverá a
atacar a través de la puerta de enlace de Apache para hacerse cargo.
● Escenario de usuario malintencionado: un empleado no
autorizado utiliza una computadora dentro de la red para aprovechar su
retención en ambos extremos de la conexión y tomar el control de la puerta de
enlace.
“Si bien la transición global al trabajo remoto es una
necesidad en estos tiempos difíciles, no debemos pasar por alto las
implicaciones de seguridad de estas conexiones remotas, especialmente cuando
entramos en la era posterior al Coronavirus. Este análisis demuestra cómo un
cambio rápido en el escenario social afecta directamente las acciones mediante
las cuales los atacantes pueden enfocar sus esfuerzos, que en este caso es un
trabajo remoto. El hecho de que cada vez más empresas subcontraten muchos servicios
utilizados internamente ha abierto una serie de nuevas superficies de posibles
ataques para los ciberdelincuentes. La recomendación para las organizaciones es
mantener sus servidores actualizados para proteger sus fuerzas de trabajo
remotas", informa Omri Herscovici, director del equipo de investigación de
vulnerabilidades de Check Point.
Correcciones Apache
Check Point reveló las vulnerabilidades para Apache y
FreeRDP, los encargados del mantenimiento de Guacamole, que las repararon y
emitieron 2 ID de CVE para las vulnerabilidades reportadas en junio de 2020.
Los investigadores de la división de Investigación de Check Point informaron de
manera responsable sus hallazgos a la fundación Apache en 31 de marzo.
