Apache Guacamole – popularny, darmowy i otwarty system zdalnego dostępu, jest podatny na szereg błędów bezpieczeństwa związanych z protokołem RDP (Remote Desktop Protocol). Administratorzy powinni zaktualizować swoje systemy (tak, na szczęście dostępna jest już łatka), aby uniknąć ataków mających na celu kradzież informacji lub zdalne wykonanie kodu.
Guacamole ma ponad 10 milionów pobrań. Umożliwia pracownikom zdalny dostęp do firmowych sieci komputerowych z dowolnego miejsca za pomocą przeglądarki internetowej. Nic dziwnego, że jest chętnie wykorzystywane w czasie pracy zdalnej. Ponadto jest wbudowane w inne produkty, takie jak Jumpserver Fortress, Quali i Fortigate.
Specjaliści z Check Point rozpoczęli analizę tego oprogramowania w połowie lutego, gdy firma sama przygotowała się do wdrożenia modelu pracy zdalnej dla ponad 5 tys. pracowników. Szybko odkryli problem z bramą typu open source. Zauważyli, że jeśli łączy się z zainfekowanym komputerem, osoby atakujące mogą użyć go do przejęcia kontroli nad całą bramą. Po jej opanowaniu, atakujący mogą podsłuchiwać wszystkie przychodzące sesje, rejestrować używane poświadczenia, a nawet kontrolować resztę komputerów w organizacji. W praktyce oznacza to uzyskanie pełnej kontroli nad całą siecią firmową.
Ponadto znaleźli kilka krytycznych luk w zabezpieczeniach odwrotnego RDP, dzięki którym maszyna docelowa mogłaby zostać użyta do sterowania bramą oraz luki we FreeRDP, czyli darmowej implementacji zastrzeżonego RDP.
Luki te umożliwiają ujawnienie informacji w stylu Heeartbleed oraz uszkodzenie pamięci. Połączenie ich ze sobą daje dowolne możliwości odczytu i zapisu w bramie. Badaczom udało się wykorzystać je do przeprowadzenia ataku polegającego na podniesieniu uprawnień, i przejęciu kontroli nad systemem.
Oficjalna łatka jest dostępna od 28 czerwca (wersja 1.2.0). Pamiętaj, że wszystkie wersje Guacamole wydane przed styczniem 2020 r. używają podatnych wersji FreeRDP, dlatego ważne jest, aby jak najszybciej zainstalować aktualizację.