Poważne podatności w Apache Guacamole

Badacze z firmy CheckPoint ogłosili odkrycie kilku poważnych podatności w rozwiązaniu Apache Guacamole, które mogą skutkować przejmowaniem sesji wirtualnego pulpitu. Przykład ataku na filmie:

Czym jest Guacamole? Jest to bardzo popularne rozwiązanie (ponad 10 milionów pobrań na Dockerze!) umożliwiające korzystanie z wirtualnego pulpitu z przeglądarki webowej. Pod spodem Guacamole pełni rolę serwera proxy: nawiązuje połączenie przez RDP lub VNC z docelowym komputerem i wystawia widok z pulpitu do przeglądarki.

Badacze zauważyli, że Guacamole korzysta z przestarzałych wersji niektórych bibliotek. Na przykład wszystkie wersje Guacamole wydane przed styczniem 2020 korzystają z FreeRDP w wersjach 1.x – wszystkie są więc podatne na błędy bezpieczeństwa.

Jeśli zaś chodzi o sam atak, to wykorzystano technikę znaną jako Reverse RDP, tj. odwrócenie typowego scenariusza ataku (w którym podłączamy się do serwera i próbujemy atakować go jako klient) i atakowanie klientów podłączających się do danego serwera. Jeśli napastnik dysponował jedną przejętą maszyną w organizacji, to wykorzystując właśnie reverse RDP był w stanie przejąć kontrolę nad wszystkimi innymi wirtualnymi sesjami sterowanymi przez Guacamole.

Krótko mówiąc: łatajcie!

— Michał Bentkowski