Des chercheurs ont découvert des failles de sécurité dans le populaire logiciel libre et gratuit Apache Guacamole, utile pour le télétravail comme passerelle permettant via un navigateur web l’
Via ces vulnérabilités, des pirates peuvent espionner les sessions à distance, enregistrer les identifiants utilisés et contrôler les ordinateurs des entreprises. Le logiciel qui a été téléchargé plus de 10 millions de fois est vulnérable à deux vecteurs d’attaques selon les chercheurs de Check Point et conduisant conduisent à « un contrôle total de l’ensemble du réseau d’une entreprise »
Eyal Itkin, chercheur en vulnérabilités chez Check Point, a démontré qu’un pirate ayant accès à un ordinateur d’une entreprise est en mesure de déclencher une attaque RDP (Remote Desktop Protocol) inversée, qui est une attaque par laquelle un PC distant infecté par un certain type de logiciel malveillant prend le contrôle d’un client qui tente de s’y connecter. Dans le cas présent, l’attaque RDP inversée permettrait à un pirate de prendre le contrôle de la passerelle Apache Guacamole qui gère toutes les sessions distantes d’un réseau.
Après avoir pris le contrôle de la passerelle, le pirate peut espionner toutes les sessions entrantes, enregistrer tous les identifiants utilisés, et même contrôler d’autres sessions dans l’entreprise. Selon les chercheurs de Check Point, cette incursion équivaut à un contrôle total de l’ensemble du réseau de l’entreprise. Le chercheur pose l’hypothèse de deux scénarii d’attaque. Une machine compromise à l’intérieur du réseau de l’entreprise exploite la connexion entrante inoffensive pour attaquer la passerelle Apache et en prendre le contrôle. Ou alors un collaborateur malhonnête utilise un ordinateur à l’intérieur du réseau pour exploiter son emprise aux deux extrémités de la connexion afin de prendre le contrôle de la passerelle.
Prévenu, Apache a publié une version corrigée en juin 2020. Les chercheurs conseillent donc aux entreprises de mettre à jour leurs serveurs dès maintenant.