Apache Guacamole-fjernbetjeningsgatewayen er blevet identificeret til at indeholde nul-dages sårbarheder. De identificerede problemer er beskrevet som omvendte RDP-sårbarheder, som giver kriminelle mulighed for at overtage sessionerne. Identificerede problemer spores nu i CVE-2020-9497-rådgivningen.
Nul-dags sårbarheder fundet i Apache Guacamole-forekomster: CVE-2020-9497 rådgivende tildelt
Apache Guacamole som en af de populære løsninger til opsætning af en klientløs remote desktop gateway ser ud til at være påvirket af flere kritiske sårbarheder på nul dage. Nyheden kom efter afsløringen af bugs og deres identifikatorer. Dette er et værktøj, der bruges til at oprette de nødvendige forbindelser for at oprette eksterne desktopforbindelser. Det understøtter alle standardprotokoller, der bruges af de fleste klientsoftware inklusive VNC, RDP og SSH. Af design Guacamole er en HTML5 webapplikation som skal implementeres på en given maskine, og serveren vil derefter være tilgængelig via en simpel browser.
Sikkerhedsspørgsmål, der er relateret til Guacamole, er indeholdt i to typer. Den CVE-2020-9497 rådgivende identifikator er tildelt sikkerhedsfejl. De to kategorier er følgende:
- Nul-dages kritiske omvendte RDP-sårbarheder - Dette inkluderer en afsløring af oplysninger fejl, der sender ud data uden for obligationer til de tilsluttede klienter i stedet for serverne. Dette gør det muligt for hackere at fange de lækkede data, der sendes via netværkspakkerne. Den anden sårbare del ser ud til at være en lydkanal, som de kriminelle kan få adgang til.
- Problemer med FreeRPD - Det ser ud til, at hackerne også har fundet en måde at få visse kommandoer til at føre til en FreeRDP-implementeringssvaghed. Protokolsvagheden er kategoriseret som en hukommelse korruption
Den CVE-2020-9498 rådgivende er også blevet tildelt relateret til Apache Guacamole-problemer efter rapporterne. Efter at emnerne blev offentliggjort, og udviklerne underrettede Apache frigivet rettelser, der afhjælper svagheden. Af denne grund vi opfordrer alle brugere til at lave deres installationer til de nyeste tilgængelige versioner. Den officielle programrettede version, der fulgte, er mærket som 1.2.0.