Domov      Nastavenia 
RSS English Slovensky

Aktuálne
Zahraničné zdroje
Nahlásené incidenty
1.1.2020 - 31.12.2020
 

Graf

V aplikácii Cisco Jabber bolo nájdených a opravených niekoľko závažných zraniteľností

16.12.2020
Nájdené zraniteľnosti sa týkajú aplikácie Cisco Jabber. Tri z nich sú známe už dlhšie, avšak septembrovou aktualizáciou sa ich nepodarilo úplne odstrániť. Kritická zraniteľnosť umožňuje injektovať ľubovoľný skript a následne vzdialene vykonávať ľubovoľný kód. Závažné zraniteľnosti môžu tiež viesť k vzdialenému vykonávaniu kódu, prípadne k úniku citlivých informácií. Nájdené a opravené boli aj stredne závažné zraniteľnosti. Voči týmto chybám je vo všeobecnosti zraniteľný Cisco Jabber pre Windows, MacOS, ale aj pre Android a iOS.

 

Dôsledky

  • Čítanie citlivých dát
  • Únik NTLM hashov
  • Vykonanie ľubovoľných príkazov
  • Vloženie a vykonanie škodlivého kódu

Opis činnosti
CVE-2020-26085, CVE-2020-27127, CVE-2020-27132, CVE-2020-27133, CVE-2020-27134

Spoločnosť Cisco vydala v septembri bezpečnostné aktualizácie na opravu zraniteľnosti typu XSS, ktorá mohla viesť ku vzdialenému vykonávaniu kódu. Avšak zistilo sa, že nebola správne opravená. Spoločnosť odstránila niekoľko ciest, ktorými bolo možné kód injektovať, no príčinu, ktorá to umožňovala, neopravila. Novo nájdené zraniteľnosti dostali nové označenia CVE-2020-26085, CVE-2020-27132 a CVE-2020-27127, aby boli odlíšiteľné od tých septembrových.

Všetky nižšie spomenuté zraniteľnosti sa týkajú aplikácie Cisco Jabber, ktorá je postavená na platforme Chromium Embedded Framework (CEF). Pre používateľské rozhranie používa HTML, CSS, Javascript a ďalšie technológie.

Kritická zraniteľnosť CVE-2020-26085 umožňuje autentifikovaným útočníkom injektovať ľubovoľný skript a následne vzdialene vykonávať ľubovoľný kód v hostiteľskom operačnom systéme. Spôsobuje ju nevhodná kontrola obsahu správ. Zraniteľnosť sa dá zneužiť na únik z kontrolovaného prostredia (sandboxu) CEF a umožňuje automatické šírenie škodlivého softvéru bez akejkoľvek interakcie používateľa. Útočník môže zaslať špeciálne vytvorenú správu XMPP zraniteľnému softvéru. CVSS skóre tejto zraniteľnosti je 9.9.

Závažnou chybou v Cisco Jabber je CVE-2020-27133, ktorá je spôsobená nesprávnym spracovaním vstupu do aplikačných protokolov. Útočník môže zraniteľnosť zneužiť tak, že presvedčí používateľa, aby klikol na odkaz. Môže viesť k vykonávaniu ľubovoľných príkazov s oprávneniami aktuálne prihláseného používateľa.

Druhou závažnou zraniteľnosťou je CVE-2020-27134. Vyžaduje interakciu používateľa so špeciálne vytvorenou správou a môže viesť k vykonávaniu ľubovoľného kódu alebo k úniku citlivých informácií. Útočník môže túto zraniteľnosť zneužiť poslaním špeciálne vytvorených správ XMPP.

Stredne závažnými zraniteľnosťami sú CVE-2020-27127 a CVE-2020-27132. CVE-2020-27127 je chyba súvisiaca s injekciou príkazov do vlastných obslužných protokolov aplikácie. Umožňuje útočníkovi prevziať kontrolu nad prehliadačom zabudovaným v cieľovom klientovi Cisco Jabber. Druhá stredne závažná chyba sa týka zverejňovania informácií, pričom umožňuje útočníkom získať hashe NTLM hesiel.

Zraniteľné systémy

  • Cisco Jabber pre Windows verzie nižšej ako 12.1
  • Cisco Jabber pre Windows verzie 12.1, 12.5, 12.6, 12.7, 12.8 a 12.9
  • Cisco Jabber pre MacOS verzie 12.7 a nižšej
  • Cisco Jabber pre MacOS verzie 12.8 a 12.9
  • Cisco Jabber pre Android a iOS verzie 12.8 a nižšej
  • Cisco Jabber pre Android a iOS verzie 12.9

Závažnosť zraniteľnosti
Vysoká

Možné škody
Cross-site scripting (XSS)
Únik informácií
Vzdialené vykonávanie kódu

Odporúčania
Odporúčame bezodkladnú aktualizáciu na najnovšie dostupné verzie podľa tabuliek na tejto stránke.

Odkazy
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-jabber-ZktzjpgO
https://www.securityweek.com/cisco-patches-wormable-zero-click-vulnerability-jabber
https://www.bleepingcomputer.com/news/security/cisco-fixes-new-critical-code-execution-bug-in-jabber-for-windows/
https://thehackernews.com/2020/12/cisco-reissues-patches-for-critical.html



<< zoznam oznámení