Critical Apache Guacamole flaws expose organizations at risk of hack
Check Point 보안 연구원들이 클라이언트가 없는 원격 데스크톱 게이트웨이인 Apache Guacamole에서 치명적인 리버스 RDP 취약점 다수를 발견했습니다.
Apache Guacamole는 VNC, RDP, SSH와 같은 표준 프로토콜을 지원하며 시스템 관리자가 원격으로 윈도우 및 리눅스 기기를 관리할 수 있도록 합니다.
공격자는 이 취약점을 악용하여 Guacamole 서버 전체를 제어하고 모든 연결된 세션에 인터셉트 및 제어할 수 있습니다.
<이미지 출처: https://blog.checkpoint.com/2020/07/02/hole-y-guacamole-fixing-critical-vulnerabilities-in-apaches-popular-remote-desktop-gateway/>
코로나19 이후로 원격 업무가 일상이 된 지금 이 취약점은 특히 위험합니다.
Apache Guacamole는 조직 내 사용자가 인증 프로세스 후 웹 브라우저를 통해 간단히 원격으로 데스크톱에 액세스할 수 있도록 합니다.
Apache Guacamole는 현재 Docker Hub에서 1천만 건 이상 다운로드된 상태입니다. CheckPoint 연구원은 아래와 같이 밝혔습니다.
“이는 치명적인 역 RDP 취약점이며 FreeRDP에서 발견된 여러 취약점의 영향을 받았습니다. 특히 2020년 1월 공개된 모든 Guacamole 버전은 취약한 FreeRDP 버전을 사용하고 있었습니다.”
“이 취약점은 공격자 또는 조직 내부의 컴퓨터를 해킹 가능한 누구나 직원이 감염된 기기에 연결했을 때 Guacamole 게이트웨이를 통해 공격할 수 있도록 허용합니다. 이로써 공격자는 Guacamole 서버 전체를 제어할 수 있는 권한을 얻고 다른 연결된 모든 세션을 인터셉트 및 제어할 수 있습니다.”
공격자가 타깃 조직 내 컴퓨터 해킹에 성공하면 직원이 감염된 기기에 연결하려 시도할 때 Guacamole 게이트웨이에서 공격을 실행할 수 있습니다.
또다른 공격 시나리오에서는 타깃 네트워크 내 컴퓨터를 사용하는 악의적인 내부 직원이 게이트웨이를 하이잭하는 것도 가능합니다.
연구원들은 지난 3월 31일 Apache 측에 이 취약점을 제보했으며, 회사는 2020년 6월 새로운 버전을 공개해 이 취약점을 수정했습니다.
“FreeRDP 내 취약점이 2.0.0-rc4 버전에서만 패치되었기 때문에 2020년 1월 이전에 공개된 모든 버전은 취약한 FreeRDP를 사용하고 있음을 의미합니다.”
“기업들 대부분이 최신 버전으로 업그레이드하지 않은 상태이며, 이 1-day 취약점을 악용한 공격에 이미 당했을 수 있습니다.”
연구원들이 발견한 취약점 목록은 아래와 같습니다.
CVE-2020-9497 – 서버의 오디오 패킷을 처리하는데 사용되는 개발자의 RDP 채널 (“rdpsnd”) 커스텀 구현에 영향을 미치는 정보 공개 취약점 2개입니다. 첫 번째 취약점은 공격자가 특수 제작한 악성 rdpsnd 메시지를 사용하여 악용이 가능하며 Heartbleed와 유사한 out-of-bound 읽기로 이어질 수 있습니다.
두 번째 취약점은 정보 공개 취약점으로 out-of-bound 데이터를 RDP 서버로 다시 전송하는 대신 연결된 클라이언트로 전송하도록 허용합니다.
연구원들은 기본적으로 비활성화되어 있는 음성 메시지를 담당하는 “guacai”에서 위 취약점의 변종 격인 세 번째 정보 공개 취약점 또한 발견할 수 있었습니다.
FreeRDP의 out-of-bounds 읽기 – 연구원들은 FreeRDP의 설계 결함을 악용하는 out-of-bound 취약점 2개를 추가로 발견했습니다.
CVE-2020-9498 – Guacamole의 메모리 충돌 취약점
CVE-2020-9497과 CVE-2020-9498 취약점을 악용할 경우 원격 사용자가 그의 감염된 컴퓨터에 연결을 시도했을 때 기업의 악성 컴퓨터가(RDP ‘서버’) guacd 프로세스를 제어할 수 있습니다.
출처:
https://securityaffairs.co/wordpress/105448/hacking/apache-guacamole-rdp-flaws.html
다른 윈도우 시스템을 감염시키기 위해 웜 방식을 시도하는 Try2Cry 랜섬웨어 발견 (0) | 2020.07.06 |
---|---|
MongoDB 데이터를 유출 후 GDPR 위반으로 신고하겠다는 랜섬 협박 급증 (0) | 2020.07.03 |
미수신 택배 관련 가짜 메시지를 통해 확산되는 안드로이드 데이터 스틸링 악성코드 (0) | 2020.07.02 |
훔친 신용 카드 데이터를 밀수하기 위해 DNS를 사용하는 윈도우 POS 악성코드 발견 (0) | 2020.07.02 |
기업 14곳에서 훔친 데이터베이스 판매돼 (0) | 2020.07.01 |
댓글 영역