vlambda博客
学习文章列表

Apache Guacamole RDP 远程代码执行漏洞(CVE-2020-9497/9498)预警





一、基本情况



Apache Guacamole是美国阿帕奇(Apache)软件基金会的一款无客户端的远程桌面网关,是系统管理员用于远程访问和管理Windows和Linux计算机的流行远程桌面应用程序。到目前为止,Apache Guacamole远程桌面应用程序在Docker Hub上的下载量已超过1000万。

近日,监测发现Apache Guacamole远程桌面网关存在信息泄露漏洞(CVE-2020-9497)以及内存损坏漏洞(CVE-2020-9498),这些漏洞使已经入侵组织内部计算机的攻击者可以在网关上发起反向RDP攻击,并完全控制其管理的所有会话。






二、漏洞分析



信息泄露漏洞(CVE-2020-9497)

开发人员在自定义RDP通道的自定义实现中发现了两个单独的漏洞,该RDP通道用于处理来自服务器的音频数据包(“rdpsnd”)。这两个漏洞中的第一个漏洞使攻击者可以制作一条恶意rdpsnd消息获取到RDP客户端的内存信息。同一通道中的第二个错误是数据泄漏,该泄漏将越界数据传输到连接的RDP客户端。


内存损坏漏洞(CVE-2020-9498)

此缺陷存在于rdpsnd和rdpdr(设备重定向)通道上的抽象层(“guac_common_svc.c”)中,它是由内存安全冲突引起的悬空指针,使攻击者可以通过结合两个缺陷来实现代码执行。


通过使用漏洞CVE-2020-9497和CVE-2020-9498,当远程用户请求连接到(受感染的)计算机时,恶意攻击者感染的服务器可以控制guacd进程。





三、 影响范围




受影响版本

Apache Guacamole < 1.2.0


不受影响版本

Apache Guacamole 1.2.0






四、 处置建议




升级至安全版本,下载链接:

https://guacamole.apache.org/releases/1.2.0/






五、参考链接




(1)https://research.checkpoint.com/2020/apache-guacamole-rce/







支持单位:

腾讯安全威胁情报中心


我知道你在看