Apache Guacamole è un software open source, gratuito, che consente ai lavoratori di un’impresa di accedere alla rete di computer aziendale da qualsiasi luogo, utilizzando solo un browser Web. Il programma, data la sua gratuità e versatilità (funziona su PC, Mac, telefoni cellulari, tablet), ha raggiunto i dieci milioni di download. Tuttavia, sono state rilevate dagli esperti di sicurezza informatica diverse vulnerabilità nel software che permettevano agli hacker di intercettare le sessioni remote degli utenti di Apache Guacamole; i malintenzionati potrebbero persino registrare le credenziali utilizzate e controllare i dispositivi nella rete dell’azienda colpita.

Secondo Omri Herscovici, leader del team di ricerca sulla vulnerabilità di Check Point Security, il danno che gli hacker possono arrecare include una qualsiasi delle categorie immaginabili che si applicano quando si compromette un computer, quali il furto di informazioni personali o l'installazione di ransomware. «Tuttavia – ha affermato sul blog dell’azienda di sicurezza informatica – in questo caso la situazione può peggiorare notevolmente, perché avere l'infrastruttura a portata di mano non solo offre agli aggressori il controllo della macchina specifica, ma permette loro di fare movimenti laterali all'interno della medesima rete, il che significa allargare la loro azione ad altri computer dell’azienda. Quindi il danno, potenzialmente, si moltiplica».

Fra gli attacchi possibili in questo contesto c’è il Reverse RDP. In poche parole, un PC remoto infetto da determinati malware può prendere il controllo di un client che tenta di connettersi a esso. Un attacco Reverse RDP consentirebbe quindi di assumere il controllo del gateway Apache Guacamole, che come detto gestisce le sessioni remote alle reti aziendali. Una volta preso il gateway, l’hacker potrebbe intercettare tutte le sessioni, oltre alle credenziali utilizzate e persino controllare altre sessioni. Secondo Check Point, prendere il gateway equivale a controllare l’intera rete dell’azienda. Gli esperti di sicurezza informatica hanno identificato due possibili vettori di questi attacchi: il Reverse attack (attacco inverso, il già citato RDP), che prevede una macchina compromessa come mezzo di attacco e manipolazione di Apache Guacamole; il fattore umano, cioè un dipendente malintenzionato dell’azienda che sfrutta la propria connessione alla rete aziendale per controllare il gateway eludendo i meccanismi di sicurezza dell’impresa.

Con l’aumento delle connessioni da remoto e del lavoro da casa (smart working) dovuto alla pandemia di Coronavirus, il rischio di subire attacchi di questo tipo è aumentato: secondo Herscovici, «Mentre la transizione globale al lavoro remoto è diventata una necessità in questi tempi difficili, non dovremmo trascurare le implicazioni di sicurezza di tali connessioni remote, specialmente quando entreremo nell’era post-[COVID-19]. Questa ricerca dimostra come un rapido cambiamento nel panorama sociale influisca direttamente sul bersaglio su cui gli aggressori potrebbero concentrare i loro sforzi. In questo caso il lavoro da remoto. Il fatto che sempre più aziende abbiano esternalizzato molti servizi utilizzati internamente apre una serie di nuove potenziali superfici di attacco per gli hacker. Invito con forza le aziende e le imprese a mantenere aggiornati i loro server per proteggere le loro connessioni remote».

«La nostra ispezione relativa a questo programma è stata limitata nel tempo; abbiamo comunicato immediatamente le nostre scoperte agli sviluppatori del software. Nuove vulnerabilità possono sempre emergere: i responsabili del progetto dovrebbero sempre cercarle attivamente», ha concluso.

Tweet