Investigadores descobriram uma falha crítica de injeção de comandos abitrários no Cisco Webex Meetings Desktop (CVE-2018-15442).

Investigadores descobriram uma vulnerabilidade de injeção de comandso classificado com um nível de severidade “alta”, e identificado como CVE-2018-15442, no Cisco Webex Meetings Desktop.

A vulnerabilidade pode ser explorada por um invasor local autenticado de forma a executar comandos arbitrários como um utilizador privilegiado.

“The vulnerability is due to insufficient validation of user-supplied parameters. An attacker could exploit this vulnerability by invoking the update service command with a crafted argument. An exploit could allow the attacker to run arbitrary commands with SYSTEM user privileges.” states the advisory published by Cisco.

“While the CVSS Attack Vector metric denotes the requirement for an attacker to have local access, administrators should be aware that in Active Directory deployments, the vulnerability could be exploited remotely by leveraging the operating system remote management tools.”

 

O comunicado da Cisco revela que a vulnerabilidade pode ser explorada remotamente, aproveitando as ferramentas de gestão remoto do sistema operativo.

A vulnerabilidade pode ser explorada por um threat agent, seja ele um malware ou um utilizador mal intencionado. Depois de uma ligação estabelecida, pode obter privilégios de administração e realizar atividades não autorizadas e maliciosas.

A vulnerabilidade afeta todas as versões da aplicação desktop do Cisco Webex Meetings anteriores à versão 33.6.0 eCisco Webex Productivity Tools Releases 32.6.0 e posteriores a 33.0.5, quando executadas num SO Microsoft Windows.

Bowes e McJunkin apelidaram a vulnerabilidade de WebExec — eles explicaram que é uma vulnerabilidade remota numa aplicação e que nem sequer está à escuta de ligações num porto do sistema.

Os especialistas apontaram que a instalação do cliente WebEx também inclui o WebExService, que pode executar comandos arbitrários como administrador do sistema.

WebExec is a vulnerability in, as the name implies, Cisco’s WebEx client software. This is a pretty uniquevulnerability, because it’s a remote vulnerability in a client application that doesn’t even listen on a port.” wrote the experts.

“The summary is: when the WebEx client is installed, it also installs a Windows service called WebExServicethat can execute arbitrary commands at SYSTEM-level privilege. Due to poor ACLs, any local or domain user can start the process over Window’s remote service interface (except on Windows 10, which requires an administrator login).”

 

A falha foi descoberta em 24 de julho de 2018 e foi comunicada à Cisco em 6 de agosto de 2018. Em 24 de outubro de 2018, a empresa divulgou o comunicado.
cisco webex
Para permitir que administradores e utilizadores verifiquem e explorem a falha, a dupla de segurança criou os scripts para o Nmap e o Metasploit.
Segundo Bowes, a exploração da falha é muito fácil.

“exploiting the vulnerability is actually easier than checking for it!” wrote Bowes.

“The patched version of WebEx still allows remote users to connect to the process and start it. However, if the process detects that it’s being asked to run an executable that is not signed by Webex, the execution will halt.”

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *