就在短短几个月前,对于我们中的大多数人来说,日常工作包括去办公室操作公司的计算机,或者直接将笔记本电脑插入公司网络。有时,我们在远程工作时需要特殊的网络访问权限,无论是通过VPN还是使用众多远程连接工具中的一种。
但众所周知,我们现在正处于后新冠肺炎时代的“新常态”,许多人的大部分工作都是在家里完成的。Check Point也不例外。
将我们的5000多名员工转移到远程工作的初步准备工作始于2020年2月中旬,在病毒开始在全球传播的早期迹象期间。Check Point加拿大分部的CISO Jonathan Fischbein解释说,在这个准备过程中,第一步是重新评估旨在允许员工安全、同时、无缝地将他们远程连接到公司网络的IT解决方案。重要的是,启用大规模远程工作不会引入任何新的漏洞,也不会增加Check Point的整体网络攻击面。
Fischbein说:“我们选择了两个不同的远程访问解决方案,因此在其中一个失败的情况下,我们将有冗余和替代方案来继续工作,其中一个解决方案基于开源Apache Guacamole,这是一款流行的无客户端远程桌面网关,支持VNC、RDP和SSH等标准协议,以及MFA(多因素身份验证)、自带设备端的合规性检查,以及IPS、SOC异常检测等多种安全控制。
“然而,解决方案中我并不确定的关键部分是开源的瓜卡莫尔服务器(Guacamole Server)。我需要确保这个开放源码解决方案的安全性足以满足我们的安全要求和标准,同时使员工能够有效地工作。因此,在我们推出解决方案之前,我们开始调查其安全性。“。
虽然Apache Guacamole很受欢迎,其docker在全球的下载量超过1000万次,但Check Point的研究人员发现,Guacamole的一些成分不符合要求的安全标准。特别是,它被认为容易受到几个关键的反向RDP漏洞的攻击,并受到FreeRDP中发现的多个新漏洞的影响。尤其是,2020年1月之前发布的所有版本的Guacamole都在使用易受攻击的FreeRDP版本。
这些漏洞将允许攻击者或任何成功侵入组织内部计算机的威胁行为者,在毫无戒备的员工连接到受感染的计算机时,通过瓜卡莫尔网关进行反击。这使得恶意攻击者能够实现对Guacamole网络服务器的完全控制,并拦截和控制所有其他连接的会话。
反向攻击场景:企业网络内的受损机器将利用传入的良性连接,并通过网关进行反击,目标是接管该连接。
恶意员工场景:恶意员工连同他在网络中的恶意计算机可以利用他对连接两端的控制来接管网关。
“在我们的研究人员发现该漏洞并通知我和Apache团队之后,”Fischbein说,“我们在我们的临时环境中协作并模拟了一个POC来应用补丁。在发现和测试后的24小时内,我们实施了安全修复,成为第一个针对此安全漏洞进行安全保护的生产环境,从而确保我们的员工可以安全地远程连接。“。
虽然在冠状病毒大流行的艰难时期,全球向远程工作的过渡是必要的,而且随着我们进入后科罗纳时代,这种过渡将继续存在,但我们不应忽视这种远程连接的安全影响。使用Apache Guacamole作为本次研究的对象,我们能够成功地演示如何使用组织内的一台受损计算机来接管网关,该网关负责处理所有进入网络的远程会话。一旦控制了网关,攻击者就可以窃听所有传入的会话,记录所有拥有其凭据的用户,甚至可以启动新会话来控制组织内的其余计算机。当大多数组织都在远程工作时,此立足点相当于对整个组织网络的完全控制。
我们强烈建议组织确保其服务器是最新的,并确保他们用于远程工作的技术完全配备了阻止此类攻击企图的适当技术。