CVE 2020-35710 ou como o RAS Gateway Secure revela o espaço de endereçamento interno da sua organização

Amador Aparicio    1 febrero, 2021
CVE 2020-35710 ou como o RAS Gateway Secure revela o espaço de endereçamento interno da sua organização

Parallels RAS (Remote Application Server), é uma solução de entrega de aplicativos e infraestrutura de desktop virtual (VDI) que permite aos funcionários e clientes de uma organização acessar e usar aplicativos, desktops e dados de qualquer dispositivo, graças aos recursos de virtualização que oferece.

Algumas semanas atrás, minha descoberta desta vulnerabilidade, qualificada como CVE-2020-35710, associada a esta arquitetura, foi publicada. Neste artigo, explico em que exatamente consiste.

Arquitetura RAS

A figura a seguir mostra um cenário no qual o Portal RAS Secure Gateways HTML5 é implantado na DMZ. O RAS Secure Gateway encaminhará as solicitações via HTTP para um host de sessão de área de trabalho remota, RAS RD, que terá o recurso Remote Desktop Services (RDS) instalado. Como pode ser visto, o host RDP está dentro da LAN da organização, embora também possa estar dentro de uma DMZos, reduzindo assim a área de exposição dos ativos de rede interna da organização.

Figura 1. Arquitetura de rede para uma infraestrutura Parallels RAS Secure Gateway e RAS RD
Figura 1. Arquitetura de rede para uma infraestrutura Parallels RAS Secure Gateway e RAS RD

Pesquisar servidor de aplicativos remoto Parallels

Encontrar dispositivos RAS HTML5 Gateway acessíveis a partir da Internet é relativamente simples. Basta consultar um guia de administração do dispositivo para poder extrair padrões dos URLs.

Figura 2. Guia de administração do dispositivo com informações de URL de acesso
Figura 2. Guia de administração do dispositivo com informações de URL de acesso

Como pode ser visto na imagem, os URLs de acesso a esses dispositivos levam em consideração as singularidades “/ RASHTML5Gateway /” e “/ RASHTML5Gateway / # / login”, o que facilita muito a localização da forma de acesso desses dispositivos conectados em Internet fazendo um pouco de Hacking com motores de busca.

Figura 3. Resultados da pesquisa com singularidades no URL
Figura 3. Resultados da pesquisa com singularidades no URL

Observa-se que, sem muito esforço na realização de um dorking, o Google oferece um bom número de resultados relacionados ao formulário HTML5 para acessar o portal web dos aparelhos.

Analisando o tráfego HTTP gerado pelo Parallels RAS

Um dos aspectos mais importantes em qualquer teste ou auditoria relacionada a sistemas web, sejam eles quais forem, é analisar solicitações e respostas HTTP para ver se o dispositivo revela informações interessantes que, à primeira vista, e sem a ajuda de um proxy HTTP , pode passar despercebido. Para isso, selecione um dos resultados retornados pelo Google e observe que o formulário RAS solicita no campo de login um usuário centralizado, um Active Directory (usuário @ domínio) e uma password.

Figura 4. Formulário de login do Parallels RAS
Figura 4. Formulário de login do Parallels RAS

Utilizando o ZAProxy, observa-se que ao clicar diretamente no botão de login , sem a necessidade de inserir um usuário @ domínio com senhao RAS Secure Gateway gera uma solicitação HTTP por POST para o RAS RD onde revela qual é o seu endereço IPv4.

Figura 5. Endereço IPv4 do RAS RD que recebe solicitações de recursos de virtualização
Figura 5. Endereço IPv4 do RAS RD que recebe solicitações de recursos de virtualização

Se o RD RAS estiver na rede interna da organização, o espaço de endereço IPv4 da organização ficará exposto. Na melhor das hipóteses, se o RD RAS estiver em uma zona desmilitarizada (DMZ), seu espaço de endereço IPv4 será exposto.

Como minimizar o vazamento de informações

Consultando as informações fornecidas pelo fabricante, é possível que o RAS Secure Gateway execute as funções do RAS RD dentro da mesma máquina . Como a máquina é a mesma, todas as solicitações HTTP para os recursos virtualizados podem ser feitas no localhost . O resultado para este cenário seria o seguinte:

Figura 6. Solicitação HTTP do serviço RAS Secure Gateway para o serviço RAS RD na própria máquina
Figura 6. Solicitação HTTP do serviço RAS Secure Gateway para o serviço RAS RD na própria máquina

O endereço IPv4 do RAS RD não seria revelado, mas as portas TCP relacionadas ao serviço RAS Secure Gateway (8080 / TCP) e ao RAS RD (8081 / TCP) seriam reveladas.

No caso de o RAS Secure Gateway e o RAS RD estarem em redes diferentes , parece muito difícil eliminar o vazamento de informações apresentado neste artigo, pois o RAS Secure Gateway tem que fazer uma solicitação HTTP por POST para se comunicar com o RAS RD.

Figura 6. Solicitação HTTP do serviço RAS Secure Gateway para o serviço RAS RD na própria máquina
Figura 6. Solicitação HTTP do serviço RAS Secure Gateway para o serviço RAS RD na própria máquina

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *