CVE 2020-35710 ou como o RAS Gateway Secure revela o espaço de endereçamento interno da sua organização

Parallels RAS (Remote Application Server), é uma solução de entrega de aplicativos e infraestrutura de desktop virtual (VDI) que permite aos funcionários e clientes de uma organização acessar e usar aplicativos, desktops e dados de qualquer dispositivo, graças aos recursos de virtualização que oferece.

Algumas semanas atrás, minha descoberta desta vulnerabilidade, qualificada como CVE-2020-35710, associada a esta arquitetura, foi publicada. Neste artigo, explico em que exatamente consiste.

Arquitetura RAS

A figura a seguir mostra um cenário no qual o Portal RAS Secure Gateways HTML5 é implantado na DMZ. O RAS Secure Gateway encaminhará as solicitações via HTTP para um host de sessão de área de trabalho remota, RAS RD, que terá o recurso Remote Desktop Services (RDS) instalado. Como pode ser visto, o host RDP está dentro da LAN da organização, embora também possa estar dentro de uma DMZos, reduzindo assim a área de exposição dos ativos de rede interna da organização.

Pesquisar servidor de aplicativos remoto Parallels

Encontrar dispositivos RAS HTML5 Gateway acessíveis a partir da Internet é relativamente simples. Basta consultar um guia de administração do dispositivo para poder extrair padrões dos URLs.

Como pode ser visto na imagem, os URLs de acesso a esses dispositivos levam em consideração as singularidades “/ RASHTML5Gateway /” e “/ RASHTML5Gateway / # / login”, o que facilita muito a localização da forma de acesso desses dispositivos conectados em Internet fazendo um pouco de Hacking com motores de busca.

Observa-se que, sem muito esforço na realização de um dorking, o Google oferece um bom número de resultados relacionados ao formulário HTML5 para acessar o portal web dos aparelhos.

Analisando o tráfego HTTP gerado pelo Parallels RAS

Um dos aspectos mais importantes em qualquer teste ou auditoria relacionada a sistemas web, sejam eles quais forem, é analisar solicitações e respostas HTTP para ver se o dispositivo revela informações interessantes que, à primeira vista, e sem a ajuda de um proxy HTTP , pode passar despercebido. Para isso, selecione um dos resultados retornados pelo Google e observe que o formulário RAS solicita no campo de login um usuário centralizado, um Active Directory (usuário @ domínio) e uma password.

Utilizando o ZAProxy, observa-se que ao clicar diretamente no botão de login , sem a necessidade de inserir um usuário @ domínio com senha, o RAS Secure Gateway gera uma solicitação HTTP por POST para o RAS RD onde revela qual é o seu endereço IPv4.

Se o RD RAS estiver na rede interna da organização, o espaço de endereço IPv4 da organização ficará exposto. Na melhor das hipóteses, se o RD RAS estiver em uma zona desmilitarizada (DMZ), seu espaço de endereço IPv4 será exposto.

Como minimizar o vazamento de informações

Consultando as informações fornecidas pelo fabricante, é possível que o RAS Secure Gateway execute as funções do RAS RD dentro da mesma máquina . Como a máquina é a mesma, todas as solicitações HTTP para os recursos virtualizados podem ser feitas no localhost . O resultado para este cenário seria o seguinte:

O endereço IPv4 do RAS RD não seria revelado, mas as portas TCP relacionadas ao serviço RAS Secure Gateway (8080 / TCP) e ao RAS RD (8081 / TCP) seriam reveladas.

No caso de o RAS Secure Gateway e o RAS RD estarem em redes diferentes , parece muito difícil eliminar o vazamento de informações apresentado neste artigo, pois o RAS Secure Gateway tem que fazer uma solicitação HTTP por POST para se comunicar com o RAS RD.