Apache Guacamole曝远程桌面攻击漏洞
据国外安全机构CheckPoint的一项新研究发现Apache Guacamole中存在多个严重反向RDP漏洞,Apache Guacamole是一种流行的远程桌面应用程序,系统管理员用来远程访问和管理Windows和Linux计算机。所报告的漏洞可使黑客完全控制Guacamole服务器,拦截和控制所有其他连接的会话。根据Check Point Research发布的一份报告显示,已经发现黑客成功破坏了组织内部计算机,攻击者在工作人员尝试连接并不知情的情况下连接到Guacamole网关时发起攻击。在将其调查结果反馈给Guacamole的维护者Apache之后,Apache发布了新版本,新版本已经修复漏洞。Apache Guacamole是一种流行的开源无客户端远程桌面网关解决方案。当安装在公司服务器上时,允许用户仅使用Web浏览器进行身份验证后,远程连接到其桌面。目前为止,Apache Guacamole远程桌面应用程序在Docker Hub上的下载量已超过1000万。RCE的内存损坏漏洞
通过公司网络内部的受感染计算机,利用传入的连接攻击Apache网关,或者通过网络中的计算机劫持公司网关。作为Guacamole最近的安全审核的一部分,也将应用于对FreeRDP 2.0.0的支持。开源RDP客户端FreeRDP有自己的特色。远程执行代码漏洞修补版本2.0.0-rc4发布于去年年初,FreeRDP中的漏洞仅在2.0.0-rc4版本上进行了修补,2020年1月之前发布的所有版本都在使用易受攻击的FreeRDP版本。- 信息泄露漏洞(CVE-2020-9497)— 开发人员在自定义RDP通道发现两个单独的漏洞,该RDP通道用于处理来自服务器的音频数据包(“ rdpsnd”)。这两个漏洞中的第一个漏洞使攻击者可以制作一条恶意rdpsnd消息,该消息可能导致与Heartbleed相似的越界读取。同一通道中的第二个错误是数据泄露,将越界数据传输到连接的客户端。
第三个信息泄露漏洞是上述漏洞的一种变体,存在于另一个称为“ guacai”的通道中,该通道负责音频输入,默认情况下处于禁用状态。- FreeRDP中的越界读取,为了找到一个可以利用上述数据泄露的内存损坏漏洞,Check Point表示发现另外两个利用设计缺陷的越界读取实例。
- Guacamole中的内存损坏漏洞(CVE-2020-9498)— 此漏洞存在于rdpsnd和rdpdr(设备重定向)通道上的抽象层(“ guac_common_svc.c”)中,是由内存安全冲突引起的,导致悬空指针,使攻击者可以通过结合两个缺陷来实现代码执行。
通过使用漏洞CVE-2020-9497和CVE-2020-9498,当远程用户请求连接到(受感染的)计算机时,可以控制guacd进程。
特权升级案例
研究者发现有可能仅通过单个guacd进程就可以控制网关中所有连接的控制,该进程在Guacamole服务器上运行用于处理与公司网络的远程连接。除了控制网关之外,此特权提升还使攻击者可以窃听所有传入的会话,记录所使用的凭据,甚至可以启动新的会话来控制组织的其他计算机。国外现在在COVID-19大流行的艰难时期,远程办公越来越普及,越来越变得举足轻重,他们认为不能忽略这种远程连接的安全隐患。建议确保服务器版本更新至最新,居家使用的办公电脑也要进行全面修补漏洞,以最大限度地阻止此类攻击尝试。然而,我们在国内,也应该思考在远程办公便利性的背景下,安全如何更好的保障。
本站仅提供存储服务,所有内容均由用户发布,如发现有害或侵权内容,请
点击举报。