Thứ Ba, Tháng Chín 15, 2020
Bảo mật

Lỗi Cisco Jabber có thể cho phép tin tặc tấn công hệ thống Windows từ xa

7views

Nhà sản xuất thiết bị mạng Cisco đã phát hành phiên bản mới của ứng dụng nhắn tin và hội nghị truyền hình Jabber dành cho Windows bao gồm các bản vá cho nhiều lỗ hổng.

Các lỗ hổng, được phát hiện bởi công ty an ninh mạng Watchcom của Na Uy, ảnh hưởng đến tất cả các phiên bản hiện được hỗ trợ của ứng dụng khách Jabber (12.1-12.9).

Hai trong số bốn lỗ hổng có thể được khai thác để thực thi mã từ xa (RCE) trên các hệ thống bằng cách gửi các tin nhắn trò chuyện được thiết kế đặc biệt trong các cuộc trò chuyện nhóm hoặc các cá nhân cụ thể.

Điều nghiêm trọng nhất trong số đó là một lỗ hổng (CVE-2020-3495, với CVSS 9,9) gây ra bởi việc xác thực nội dung tin nhắn không đúng cách, có thể bị kẻ tấn công lợi dụng bằng cách gửi tin nhắn Thông tin hiện diện trực tuyến và nhắn tin mở rộng (XMPP) được chế tạo một cách đặc biệt đến phần mềm bị ảnh hưởng. “Việc khai thác thành công có thể cho phép kẻ tấn công khiến ứng dụng thực thi các chương trình tùy ý trên hệ thống mục tiêu với các đặc quyền của tài khoản người dùng đang chạy phần mềm khách của Cisco Jabber”, Cisco cho biết trong một tư vấn được công bố. Sự phát triển diễn ra vài ngày sau khi Cisco cảnh báo về một lỗ hổng zero-day bị khai thác trong phần mềm bộ định tuyến IOS XR của họ.

Lỗi XSS thành RCE Flaw

XMPP (ban đầu được gọi là Jabber) là một giao thức truyền thông dựa trên XML được sử dụng để tạo điều kiện cho việc nhắn tin tức thời giữa hai hoặc nhiều thực thể mạng bất kỳ.

Nó cũng được thiết kế để có thể mở rộng để đáp ứng các chức năng bổ sung, một trong số đó là XEP-0071: XHTML-IM – một đặc tả đưa ra các quy tắc trao đổi nội dung HTML bằng giao thức XMPP.

hack cisco
Lỗ hổng trong Cisco Jabber phát sinh từ lỗ hổng cross-site scripting (XSS) khi phân tích cú pháp tin nhắn XHTML-IM.

Các nhà nghiên cứu của Watchcom giải thích: “Ứng dụng không kiểm tra đúng cách các tin nhắn HTML đến và thay vào đó chuyển chúng qua một bộ lọc XSS còn thiếu sót. Do đó, một thông báo XMPP hợp pháp có thể bị chặn và sửa đổi, khiến ứng dụng chạy một tệp thực thi đã tồn tại trong đường dẫn cục bộ của ứng dụng. Để đạt được điều này, nó tận dụng một chức năng dễ bị tấn công riêng biệt trong Chromium (CEF) – một mã nguồn mở được sử dụng để nhúng trình duyệt web Chromium trong các ứng dụng khác – có thể bị kẻ xấu lợi dụng để thực thi giả mạo tệp”. exe “trên máy của nạn nhân.

Tuy nhiên, những kẻ tấn công được yêu cầu phải có quyền truy cập vào miền XMPP của nạn nhân để gửi các thông báo XMPP độc hại cần thiết để khai thác thành công lỗ hổng.

Ngoài ra, ba lỗ hổng khác trong Jabber (CVE-2020-3430, CVE-2020-3498, CVE-2020-3537) có thể bị khai thác để đưa vào các lệnh độc hại và gây tiết lộ thông tin, bao gồm khả năng thu thập lén lút các mật khẩu NTLM của người dùng .

Với việc các ứng dụng hội nghị truyền hình trở nên phổ biến sau đại dịch, điều cần thiết là người dùng Jabber phải cập nhật phiên bản mới nhất của phần mềm để giảm thiểu rủi ro.

Watchcom cho biết: “Với sự phổ biến mới xuất hiện của chúng trong các tổ chức thuộc mọi quy mô, các ứng dụng này đang trở thành mục tiêu ngày càng hấp dẫn đối với những kẻ tấn công”. “Rất nhiều thông tin nhạy cảm được chia sẻ thông qua các cuộc gọi video hoặc tin nhắn và các ứng dụng được đa số nhân viên sử dụng, kể cả những người có quyền truy cập đặc quyền vào các hệ thống CNTT khác.”

“Do đó, bảo mật của các ứng dụng này là điều tối quan trọng và điều quan trọng là phải đảm bảo rằng cả bản thân ứng dụng và cơ sở hạ tầng mà chúng đang sử dụng, đều được kiểm tra các lỗ hổng bảo mật.”

Leave a Response