Os invasores podem explorar a falha crítica do Cisco Jabber com uma mensagem

Um invasor pode executar código remoto sem interação do usuário, graças ao CVE-2020-3495.

Os pesquisadores estão alertando sobre uma falha crítica de execução remota de código (RCE) na versão Windows do Cisco Jabber, o aplicativo de videoconferência e mensagem instantânea da empresa de rede. Os invasores podem explorar a falha simplesmente enviando mensagens especialmente criadas para os alvos – nenhuma interação do usuário necessária.

A falha ( CVE-2020-3495 ) tem uma pontuação CVSS de 9,9 em 10, tornando-a crítica em gravidade, disse a Cisco em um comunicado na quarta-feira. Os pesquisadores da Watchcom, que descobriram a falha, disseram que com o aumento da força de trabalho remota durante a pandemia do coronavírus , as implicações da vulnerabilidade são especialmente sérias.

“Dada sua recente prevalência em organizações de todos os tamanhos, esses aplicativos estão se tornando um alvo cada vez mais atraente para os invasores”, disseram os pesquisadores da Watchcom em uma análise na quarta-feira . “Muitas informações confidenciais são compartilhadas por videochamadas ou mensagens instantâneas, e os aplicativos são usados ​​pela maioria dos funcionários, incluindo aqueles com acesso privilegiado a outros sistemas de TI.”

Um invasor pode explorar a falha enviando mensagens XMPP (Extensible Messaging and Presence Protocol) especialmente criadas para sistemas vulneráveis ​​de usuário final executando o Cisco Jabber para Windows. O XMPP é um protocolo baseado em XML para mensagens instantâneas, baseado em um padrão aberto, que é amplamente usado em software de código aberto e proprietário.

Embora os invasores possam ser remotos para lançar tal ataque, eles podem exigir acesso ao mesmo domínio XMPP ou outro método de acesso para poder enviar mensagens aos clientes, de acordo com os pesquisadores. No entanto, na maior parte, o ataque é fácil de executar: nenhuma interação do usuário é necessária por parte da vítima visada, e a vulnerabilidade pode ser explorada mesmo quando o Cisco Jabber está sendo executado em segundo plano.

O problema decorre do Cisco Jabber validando indevidamente o conteúdo da mensagem; o aplicativo não limpa adequadamente as mensagens HTML recebidas. Em vez disso, ele passa as mensagens por meio de um filtro de script entre sites (XSS) defeituoso. Os pesquisadores descobriram que esse filtro pode ser contornado usando um atributo chamado “onanimationstart”. Este atributo é usado para especificar uma função JavaScript que será chamada quando a animação CSS de um elemento começar a ser reproduzida.

Usando o atributo (junto com uma animação embutida atribuída a ele), os pesquisadores descobriram que era possível criar tags HTML maliciosas que o filtro não detectou e foram finalmente executadas. Como etapa final, os pesquisadores criaram uma mensagem maliciosa usando essas tags HTML, que interceptou uma mensagem XMPP enviada pelo aplicativo e a modificou.

A vulnerabilidade do Jabber RCE em ação. Crédito: Watchcom

Os invasores podem fazer isso manualmente em suas próprias máquinas ou pode ser automatizado para criar um worm que se espalha automaticamente, disseram os pesquisadores.

Finalmente, “como resultado da exploração, um invasor pode fazer com que o aplicativo execute um executável arbitrário que já existe no caminho do arquivo local do aplicativo”, de acordo com a Cisco. “O executável seria executado no sistema do usuário final com os privilégios do usuário que iniciou o aplicativo cliente Cisco Jabber.”

Os sistemas que usam o Cisco Jabber no modo somente telefone (sem serviços de mensagens XMPP habilitados) não são vulneráveis ​​à exploração, disse o comunicado da Cisco. Além disso, a vulnerabilidade não pode ser explorada quando o Cisco Jabber está configurado para usar serviços de mensagens diferentes de mensagens XMPP.

As vulnerabilidades afetam todas as versões atualmente suportadas do cliente Cisco Jabber (12.1 – 12.9). A Cisco lançou atualizações para diferentes versões do Cisco Jabber afetado. Veja as correções na tabela abaixo:

Cisco Jabber

Os pesquisadores disseram que encontraram três outras vulnerabilidades no Cisco Jabber, incluindo uma infecção de comando de manipulador de protocolo (CVE-2020-3430), uma falha de divulgação de informações (CVE-2020-3498) e um problema de manipulação de link da Convenção de Nomenclatura Universal ( CVE-2020-3537).

A Cisco disse que não tem conhecimento de nenhum anúncio público ou uso malicioso da falha.

Fonte: https://threatpost.com/attackers-can-exploit-critical-cisco-jabber-flaw-with-one-message/158942