0x00 前言Apache Guacamole是较为流行的一种远程办公基础框架 , 在全球范围内已有超过1000万次的Docker下载 。在研究过程中 , 我们发现Apache Guacamole存在多个严重的反向RDP漏洞 , 并且也受我们在FreeRDP中找到的一些新漏洞的影响 。简而言之 , 如果攻击者成功入侵了某个组织的内部计算机 , 那么当正常用户尝试连接被控制的主机时 , 攻击者就可以利用这些漏洞来攻击Guacamole网关 。恶意攻击者可以完全控制guacamole-server , 拦截并控制其他已连接的会话 。
攻击过程可参考该视频 , 视频中我们成功利用这些漏洞控制Guacamole以及已连接的所有会话 。
0x01 Apache Guacamole简介随着疫情期间远程办公的兴起 , 我们认为针对远程办公的技术方案将变成一个热点的研究目标 , 因此选择Apache Guacamole作为这类解决方案的代表来研究 。前文也提到过 , 这款产品是市场上最重要的工具之一 。许多单位会使用该产品来连接网络 , 许多网络访问及安全产品也会在自身产品中集成Apache Guacamole , 比如Jumpserver Fortress、Quali、Fortigate等 。
经过一些背景调查后 , 我们绘制了典型的网络架构 , 如图1所示:
文章插图
图1. 部署Apache Guacamole网关的典型网络架构
在这种场景中 , 员工使用浏览器连接公司在互联网上开放的服务器 , 进行身份认证 , 然后就可以访问公司内的主机 。员工在使用浏览器时 , guacamole-server会选择某种支持的协议(RDP、VNC、SSH等) , 使用开源客户端连接企业网内的特定主机 。连接成功后 , guacamole-server会充当中间人角色 , 来回传递事件 , 将数据从所选的协议转换为特定的“Guacamole Protocol” , 反之亦然 。
了解该架构后 , 我们可以考虑一些攻击场景:
1、反向攻击场景:企业网内部被入侵的一台主机可以利用入站连接来攻击网关 , 希望能控制目标网关 。
2、恶意员工场景:恶意员工使用网内主机 , 利用链路两端节点的控制权来控制目标网关 。
0x02 是否需要0-Day在深入研究代码之前 , 我们先简单了解一下FreeRDP 。在之前针对反向RDP攻击的研究中 , 我们找到了这款RDP客户端中的一些漏洞 , 攻击者可以通过恶意RDP“服务器”来利用该漏洞 。换而言之 , 企业网内的恶意主机可以控制连接该主机的正常FreeRDP客户端 。我们提供了针对某个漏洞(CVE-2018-8786)的基本PoC , 也演示了RCE(远程代码执行)场景 。
观察Apache Guacamole的发行版本 , 可以看到只有2020年1月底发布的1.1.0版中增加了对最新版FreeRDP(2.0.0)的支持 。由于FreeRDP只在2.0.0-rc4版中修复了我们发现的漏洞 , 这意味着2020年1月之前发布的所有版本使用的都是存在漏洞的FreeRDP版本 。
因此我们对0-Day漏洞的挖掘暂告一段落 , 推测大多数企业可能还没有升级至最新版本 , 可以使用已知的1-Day漏洞进行攻击 。然而我们还是决定再次挖掘RDP协议中的漏洞 , 具体研究对象包括:
1、guacamole-server代码 , 只关注其中对RDP协议的支持代码 。
2、最新版FreeRDP的代码:2.0.0-rc4版 。
我们设想的利用条件限定于默认安装的版本 , 也就是说 , 只能使用默认情况下处于启用状态的功能 , 并且希望不需要与客户端进行任何交互 。
0x03 寻找新漏洞由于我们对FreeRDP的代码非常熟悉 , 对RDP整体也比较了解 , 因此很快就找到了一些漏洞 。
CPR-ID-2141:信息泄露漏洞
CVE编号: CVE-2020-9497为了在RDP连接以及客户端之间中继消息 , 开发者为默认RDP通道实现了一种扩展 。其中有个通道负责获取服务端的音频 , 因此被称之为rdpsnd(RDP Sound) 。
文件:protocolsrdpchannelsrdpsndrdpsnd-messages.c
函数:guac_rdpsnd_formats_handler()
备注:由于Apache并没有将我们报告的漏洞(CPR-ID)与他们公布的CVE-ID一一对应 , 因此我们主要根据他们提供的CPR-ID来对应具体漏洞 , 这样更准确一些 。
然而在实际场景中 , guacamole-server与FreeRDP之间的集成节点很容易出错 。传入的消息经过FreeRDP的wStream对象封装 , 因此相应的数据应该使用该对象的API来解析 。然而如图2所示 , 开发者忘了设置一个强制条件:传入的流对象所包含的字节数必须与数据包所声明的字节数相匹配 。
推荐阅读
- Treck TCP/IP协议库多个漏洞安全风险通告
- CVE-2020-1948: Apache Dubbo 远程代码执行漏洞通告
- 超级店长怎么绑定多个店铺 淘宝店铺超级店长有什么用
- 关于 Apache ShardingSphere 5.x 的分片算法 API 设计的公开讨论
- Apache CommonCollection Gadget 几种特殊的玩法
- 80后架构师教你学ApacheBeam,一个开源统一分布式数据处理编程库
- 降落伞|一针一线缝出来!神十三棒棒糖降落伞:3000多个零部件、展开1200平方米
- 直通车为什么要开多个计划 直通车一个宝贝可以用两个计划吗
- Apache Airflow的完整介绍
- 直通车开两个计划用同样的词 直通车为什么要开多个计划