25 vulnerabilidades en rDesktop y FreeRDP

Si bien Apache Guacamole es popular, con más de 10 millones de descargas de docker en todo el mundo, los investigadores de Check Point descubrieron que algunos de los ingredientes de Guacamole no cumplían con los estándares de seguridad requeridos. En particular, era vulnerable a varias vulnerabilidades críticas de RDP inverso, y estaba afectado por múltiples vulnerabilidades nuevas encontradas en FreeRDP. En particular, todas las versiones de Guacamole que se lanzaron antes de enero de 2020 están utilizando versiones vulnerables de FreeRDP.

Jonathan Fischbein, CISO en Check Point, explica que la preparación inicial para transferir a más de 5.000 empleados al trabajo remoto comenzó a mediados de febrero de 2020, durante las primeras señales de COVID-19 comenzaba a extenderse a nivel mundial. Durante este proceso de preparación, el primer paso fue reevaluar las soluciones de TI que estaban destinadas a permitir a los empleados conectarse de forma segura a la red corporativa de forma remota, simultánea y sin problemas.

"Elegimos dos soluciones de acceso remoto diferentes, por lo que en caso de falla, tendríamos redundancia y una alternativa para permitir que el trabajo continúe. Una de las soluciones se basó en Apache Guacamole de código abierto, el popular gateway de escritorio remoto sin cliente que admite protocolos estándar como VNC, RDP y SSH, junto con MFA (autenticación de múltiples factores), verificaciones de cumplimiento en el lado BYOD y varios controles de seguridad como IPS, detecciones de anomalías SOC y muchos más".

Usado por miles de profesionales de TI e investigadores de seguridad en todo el mundo, el Protocolo de escritorio remoto (RDP) generalmente se considera una aplicación segura y confiable para conectarse a computadoras remotas. Ya sea que se use para ayudar a quienes trabajan de forma remota o para trabajar en un entorno VM seguro, los clientes RDP son una herramienta invaluable.

Check Point Research descubrió 19 vulnerabilidades en rdesktop y 6 para FreeRDP. La lista completa se puede encontrar aquí.

Luego del análisis, encontratron vulnerabilidades que permitirían que un atacante, o cualquier actor malicioso que comprometa con éxito una computadora dentro de la organización, ataque el gateway de Guacamole cuando un trabajador desprevenido se conecta a su máquina infectada. Esto permite que un actor malicioso logre el control total sobre el servidor Guacamole e intercepte y controle todas las demás sesiones conectadas.

La investigación examinó 2 vectores de ataque:

• Escenario de ataque inverso: una máquina comprometida dentro de la red corporativa aprovechará la conexión benigna entrante y volverá a atacar a través de la puerta de enlace, con el objetivo de tomar el control.
• Escenario de trabajador malicioso: un empleado malintencionado, junto con su computadora maliciosa dentro de la red, puede aprovechar su control en ambos extremos de la conexión para hacerse cargo de la puerta de enlace

Después de los descubrimientos, simularon una PoC y en 24 horas posteriores al hallazgo y las pruebas, se implementó la corrección.

Fuente: CheckPoint