Attraverso le vulnerabilità delle infrastrutture IT aziendali, gli aggressori potrebbero spiare le sessioni da remoto, registrare le credenziali utilizzate e controllare i computer all’interno dell’organizzazione. La particolarità è che questa volta non sono solo gli hacker a farlo, ma anche i dipendenti disonesti

Negli ultimi mesi, Check Point Software Technologies ha accertato molteplici casi di organizzazioni impreparate allo smart working e alla protezione dei propri lavoratori, nonché della rete aziendale stessa. L’ultima scoperta è alquanto preoccupante, non solo per gli hacker che trovano sempre nuovi escamotage – ma anche perché Check Point ha dimostrato che esistono anche dipendenti disonesti che provano a intaccare la sicurezza della propria azienda.

Un solo aggressore con accesso a un computer all’interno di un’organizzazione può eseguire un attacco Reverse RDP, con il quale un PC remoto infettato da determinati malware prende il controllo di un client che cerca di connettersi ad esso. In questo caso, l’attacco Reverse RDP consentirebbe a un hacker, che sia esso interno o esterno all’azienda, di prendere il controllo dell’intera rete organizzativa. Una volta fatto breccia, l’aggressore potrebbe spiare tutte le sessioni in entrata, registrare tutte le credenziali utilizzate e persino controllare altre sessioni all’interno dell’organizzazione.

Questo è successo a Apache Guacamole, una delle infrastrutture IT più popolari al mondo dedicate al lavoro da remoto, un open software gratuito con oltre 10 milioni di download, che consente agli “smart worker” di accedere alla rete informatica della loro azienda da qualsiasi luogo, utilizzando solo un browser web.

Due vettori di attacco

I ricercatori hanno classificato le loro scoperte in due possibili scenari che potrebbero verificarsi in ogni organizzazione:

Attacco inverso: un dispositivo compromesso all’interno della rete aziendale sfrutta la connessione benigna in entrata per attaccare il gateway Apache, mirando a prenderne il controllo.
Lavoratore disonesto: un dipendente malintenzionato usa un computer all’interno della rete per sfruttare la sua presa su entrambe le estremità della connessione e prendere il controllo del gateway.

“Mentre il passaggio globale a favore del lavoro da remoto è una necessità in questi tempi difficili, non dovremmo trascurare le implicazioni di sicurezza di tali connessioni remote, soprattutto quando entriamo nell’era post coronavirus. Questa ricerca dimostra come gli hacker approfittano di un rapido e improvviso cambiamento, come quello avvenuto nel nostro panorama sociale ultimamente. In questo caso parliamo dello smart working.” afferma David Gubiani, Regional Director SE EMEA Southern di Check Point. “Il fatto che un numero sempre maggiore di aziende abbia esternalizzato molti servizi utilizzati internamente, apre una serie di nuove potenziali superfici di attacco per gli aggressori. Raccomando vivamente le aziende e le organizzazioni a mantenere aggiornati i loro server per proteggere la loro forza lavoro da remoto.”