Libre et gratuit, le logiciel clientless Apache Guacamole est très utilisé depuis le confinement. Téléchargé plus de 10 millions de fois, il permet aux salariés d’accéder au réseau informatique de leur entreprise depuis n’importe où, en utilisant uniquement un navigateur web. Apache Guacamole fonctionne sur de nombreux appareils, y compris des smartphones et des tablettes, ce qui permet aux télétravailleurs « d’avoir un accès constant et sans entrave à vos ordinateurs depuis le monde entier », selon les créateurs du logiciel. Cet accès est réellement sans entrave, même pour les hackers à cause de failles de sécurité découvertes par Eyal Itkin, chercheur en vulnérabilités chez Check Point. Ce dernier a démontré qu’un pirate ayant accès à un ordinateur d’une entreprise est en mesure de déclencher une attaque RDP inversée (une attaque par laquelle un PC distant infecté par un certain type de logiciel malveillant prend le contrôle d’un client qui tente de s’y connecter). Dans le cas présent, l’attaque RDP inversée permettrait à un pirate de prendre le contrôle de la passerelle Apache Guacamole qui gère toutes les sessions distantes d’un réseau. Après avoir pris le contrôle de la passerelle, le pirate pourrait espionner toutes les sessions entrantes, enregistrer tous les identifiants utilisés, et même contrôler d’autres sessions dans l’entreprise. Bref, cela équivaut à un contrôle total du réseau.
Check Point a identifié deux scénarios d’attaque : celui de l’attaque inversée, par lequel une machine compromise à l’intérieur du réseau de l’entreprise exploite la connexion entrante inoffensive pour attaquer la passerelle Apache et en prendre le contrôle, et celui du collaborateur malveillant selon lequel collaborateur malhonnête utilise un ordinateur à l’intérieur du réseau pour exploiter son emprise aux deux extrémités de la connexion afin de prendre le contrôle de la passerelle.
« Si la transition mondiale vers le télétravail est une nécessité en ces temps difficiles, nous ne devons pas négliger les implications de ces connexions à distance sur la sécurité, surtout à l’heure où nous entrons dans l’ère de l’après coronavirus. Cette étude montre comment un changement rapide du paysage social affecte directement les domaines dans lesquels les pirates pourraient concentrer leurs efforts », avertit Omri Herscovici, Responsable de l’équipe des chercheurs en vulnérabilités chez Check Point, qui conseille aux entreprises d’actualiser leurs serveurs pour protéger leurs collaborateurs à distance.
Son équipe a communiqué ses conclusions à Apache, qui est responsable du projet Guacamole. L’éditeur open source a publié une version corrigée en juin.