www.belgium.be Logo of the federal government

Meerdere RDP kwetsbaarheden in Apache Guacamole

Referentie: 
Advisory #2020-022
Versie: 
1.0
Geïmpacteerde software: 
Apache Guacamole 1.1.0 en oudere versies
Type: 
Information Disclosure, Memory Corruption and Remote Code Execution (RCE)
CVE/CVSS: 

CVE-2020-9497
CVE-2020-9498

Bronnen

https://research.checkpoint.com/2020/apache-guacamole-rce/
https://blog.checkpoint.com/2020/07/02/hole-y-guacamole-fixing-critical-...
https://guacamole.apache.org/security/

Risico’s

Twee kritieke kwetsbaarheden werden gevonden met Apache's populaire open-source remote desktop gateway Apache Guacamole. Deze kwetsbaarheden kunnen een aanvaller die met succes een apparaat binnen een bedrijfsnetwerk heeft gecompromitteerd, in staat stellen om via de Guacamole-gateway aan te vallen wanneer de gebruiker verbinding maakt met dit geïnfecteerde apparaat.
Hierdoor kan de aanvaller ook de volledige controle over de Guacamole-server overnemen en alle andere sessies onderscheppen en controleren.

Beschrijving

Apache Guacamole is een open-source remote destktop gateway oplossing. Wanneer het geïnstalleerd is op de server van een bedrijf, stelt het gebruikers in staat om op afstand verbinding te maken met de bedrijfsserver via een webbrowser.

Check Point Research heeft twee kritieke kwetsbaarheden ontdekt met Apache Guacamole getraceerd als CVE-2020-9497 en CVE-2020-9498.

De kwetsbaarheid, CVE-2020-9497, maakt een risico op informatieverstrekking mogelijk. Deze fout stelt een aanvaller in staat om een kwaadaardig RDP Sound (rdpsnd) bericht te maken dat vervolgens kan leiden tot het lekken van informatie uit het geheugen van het guacd-proces dat de verbinding beheert.

CVE-2020-9498 is een fout in het geheugen die het mogelijk maakt om code op afstand uit te voeren. Als een gebruiker verbinding maakt met een gecompromitteerde RDP-server, ontvangt hij een serie speciaal gemaakte PDUs. Het kan dan resulteren in geheugencorruptie, waardoor mogelijk willekeurige code kan worden uitgevoerd met de privileges van het lopende guacd-proces.

Door gebruik te maken van deze twee kwetsbaarheden kan een aanvaller code-uitvoering op afstand (RCE) uitvoeren op een onbetrouwbare RDP-server en de controle over het guacd-proces overnemen wanneer een gebruiker op afstand vraagt om verbinding te maken met deze geïnfecteerde machine.

Voor gedetailleerde informatie kunt u de volgende link raadplegen
https://research.checkpoint.com/2020/apache-guacamole-rce/

Aanbevolen acties

CERT.be raadt systeembeheerders aan om zo snel mogelijk de laatste door de uitgever vrijgegeven patches toe te passen (minstens versie 1.2.0: https://guacamole.apache.org/releases/1.2.0/).