Vulnerabilità “BlueGate” (Remote Desktop Gateway)

Proto: N050120.

Con la presente Yoroi desidera informarLa riguardo ad un importante aggiornamento riguardo allo stato  di vulnerabilità dei servizi Windows RD Gateway, gateway enterprise per l’accesso centralizzato alle risorse Remote Desktop aziendali. Le criticità sono referenziate con l’alias “BlueGate” e sono note con gli identificativi CVE-2020-0609 e CVE-2020-0610.

A causa di lacune nella gestione della memoria durante le operazioni di ricostruzione dei pacchetti client, un attaccante remoto può essere in grado di eseguire codice arbitrario nel Remote Desktop Gateway senza alcuna autenticazione, accedendo abusivamente a sistemi e reti aziendali. Scenario che comporta rischi non trascurabili specialmente a fronte dell’intensificazione dei tentativi di estorsione e degli attacchi ransomware mirati degli ultimi mesi.

Figura. Potenziale Esposizione Servizi RD Gateway in Italia (Source:ShodanHQ)

Il Produttore ha confermato le problematiche attraverso appositi bollettini di sicurezza (CVE-2020-0610 e CVE-2020-0609), ed ha rilasciato patch per i sistemi Windows Server 2012, Windows Server 2012 R2, Windows Server 2016  e Windows Server 2019 nei consueti aggiornamenti di sicurezza di Gennaio 2020.

Tuttavia, per via della potenziale esposizione di rete dei sistemi vulnerabili (porta di default 3391), della pubblicazione di dettagli tecnici e codici per testare la vulnerabilità, ma soprattutto dell’imminente rilascio di Proof-of-Concept in grado di sfruttare la vulnerabilità per eseguire codice arbitrario, Yoroi consiglia caldamente di applicare con urgenza le patch di sicurezza rilasciate da Microsoft e di limitare l’esposizione internet degli eventuali servizi RD Gateway vulnerabili. 

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index