Domov      Nastavenia 
RSS English Slovensky

Zahraničné zdroje
Nahlásené incidenty
1.1.2019 - 31.12.2019
 

Graf

Cisco Jabber obsahuje kritickú zraniteľnosť umožňujúcu vzdialené vykonávanie kódu

22.09.2020
Aplikácia Cisco Jabber obsahuje XSS zraniteľnosť, ktorá sa dá využiť na vzdialené spustenie programov s právami prihláseného používateľa. Na zneužitie zraniteľnosti je potrebné, aby Jabber využíval protokol XMPP s povoleným rozšírením XHTML-IM.

 

Dôsledky

  • Vzdialené vykonávanie spustiteľných súborov
  • Zmena obsahu správ
  • Únik NTLM hashov

Opis činnosti
CVE-2020-3430, CVE-2020-3495, CVE-2020-3498, CVE-2020-3537

Bezpečnostní špecialisti zo spoločnosti Watchcom odhalili štyri zraniteľnosti v aplikácii Cisco Jabber, ktorá slúži ako videokonferenčný a chatovací nástroj. Všetky zraniteľnosti sa týkajú len verzie aplikácie určenej pre platformu Windows. Jedna z týchto zraniteľností (CVE-2020-3495) je kritická, keďže umožňuje vzdialené vykonávanie kódu bez interakcie používateľa.

Zraniteľnosť je spôsobená nesprávnou validáciou obsahu správ. Správy sa v aplikácii Jabber prenášajú cez protokol XMPP. Tento protokol obsahuje rozšírenie XHTML-IM pre prenos HTML správ ktoré je predvolene povolené pre všetky správy. Správy prechádzajú v aplikácii filtrom, ktorý nie je dostatočne konfigurovaný a je možné ho obísť. Všetky skripty, ktoré obídu filter, nie sú ošetrené a aplikácia ich vykoná. Tento typ útoku sa nazýva cross-site scripting (XSS). Týmto spôsobom je možné odchytávať správy používateľov a vkladať do nich svoje skripty, čo možno zneužiť na vytvorenie červa, ktorý sa dokáže automaticky šíriť.

Jabber umožňuje aj posielanie súborov. Útočník môže poslať obeti správu so škodlivým spustiteľným súborom, a využiť XSS útok na to, aby bol súbor automaticky akceptovaný a spustený na stroji obete s právami aktuálne prihláseného používateľa. Súbory sú spustené, aj keď aplikácia Jabber beží na pozadí.

Na to, aby útočník mohol zraniteľnosť zneužiť, musí mať prístup do rovnakej XMPP domény ako obeť, alebo iný typ prístupu, ktorý mu umožní poslať správy. Okrem toho Jabber musí využívať XMPP. Ak je nakonfigurovaný pre použitie inej služby na posielanie správ, potom zraniteľnosť nie je možné zneužiť. Takisto nie je možné zneužiť zraniteľnosť ak je Jabber spustený v móde len pre telefón bez XMPP služby.

Druhá zo štyroch nájdených zraniteľností (CVE-2020-3430) má vysokú závažnosť a je spôsobená nesprávnym ošetrením URL adries. Cisco Jabber používa viaceré protokoly, ktoré špecifikujú spracovanie URL adries. Adresy môžu byť poslané protokolu ako vykonateľné príkazy. Vložením medzery do URL adresy je možné pridať príkazy ktoré program vykoná.

Ďalšie dve zraniteľnosti umožňujú získať hashe NTLM hesiel. Prvá z nich (CVE-2020-3537) je spôsobená tým, že Jabber umožňuje kliknúť na odkazy pre SMB zdieľané súbory. Po kliknutí na odkaz sa automaticky pošle hash NTLM hesla vzdialenému úložisku.
Druhá zraniteľnosť (CVE-2020-3498) nevyžaduje interakciu používateľa. Ak útočník pošle obeti HTML obsah ktorý obsahuje obrázok (tag <img>) so vzdialeným zdrojom, Jabber sa ho automaticky pokúsi nahrať. Ak je zdrojom SMB zdieľaný priečinok vyžadujúci autentifikáciu, automaticky sa odošle hash NTLM hesla.

Zraniteľné systémy
Cisco Jabber for Windows 12.1, 12.5, 12.6, 12.7, 12.8, 12.9

Závažnosť zraniteľnosti
Vysoká

Možné škody
Únik informácií
Cross-site scripting (XSS)
Vzdialené vykonávanie kódu

Odporúčania
Bezodkladná aktualizácia na verziu obsahujúcu záplatu. Zraniteľnosť bola opravená vo verziách 12.1.3, 12.5.2, 12.6.3, 12.7.2, 12.8.3 a 12.9.1.

Odkazy
https://watchcom.no/nyheter/nyhetsarkiv/uncovers-cisco-jabber-vulnerabilities/
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-jabber-UyTKCPGg



<< zoznam oznámení