Lỗi Cisco Jabber cho phép tin tặc tấn công Windows từ xa

Nhà sản xuất thiết bị mạng Cisco đã phát hành phiên bản mới của ứng dụng nhắn tin và hội nghị truyền hình Jabber dành cho Windows, bao gồm các bản vá cho nhiều lỗ hổng — nếu bị khai thác, có thể cho phép kẻ tấn công từ xa, đã xác thực thực thi mã tùy ý.

Các lỗ hổng, được phát hiện bởi công ty an ninh mạng Watchcom của Na Uy trong thời gian bị giam giữ, ảnh hưởng đến tất cả các phiên bản hiện được hỗ trợ của ứng dụng khách Jabber (12.1-12.9) và kể từ đó đã được công ty sửa chữa.

Lỗi Cisco Jabber cho phép tin tặc tấn công Windows từ xa

Hai trong số bốn lỗ hổng có thể được khai thác để thực thi mã từ xa (RCE) trên các hệ thống đích bằng cách gửi các tin nhắn trò chuyện được chế tạo đặc biệt trong các cuộc trò chuyện nhóm hoặc các cá nhân cụ thể.

Điều nghiêm trọng nhất trong số đó là một lỗ hổng (CVE-2020-3495, điểm CVSS 9,9) gây ra bởi việc xác thực nội dung tin nhắn không đúng cách, có thể bị kẻ tấn công lợi dụng bằng cách gửi tin nhắn Giao thức hiện diện và nhắn tin mở rộng ( XMPP ) được chế tạo một cách độc đáo đến phần mềm bị ảnh hưởng. “Một thành công khai thác có thể cho phép kẻ tấn công để gây ra các ứng dụng để thực hiện các chương trình tùy ý trên hệ thống nhắm mục tiêu với những đặc quyền của tài khoản người dùng đang chạy các phần mềm máy khách Cisco Jabber, có thể dẫn đến thực thi mã tùy ý,” Cisco nói trong một cuộc tư vấn được công bố hôm qua. Sự phát triển diễn ra vài ngày sau khi Cisco cảnh báo về một lỗ hổng zero-day bị khai thác tích cực trong phần mềm bộ định tuyến IOS XR của họ.

Lỗi XSS thành RCE Flaw

XMPP (ban đầu được gọi là Jabber) là một giao thức truyền thông dựa trên XML được sử dụng để tạo điều kiện cho việc nhắn tin tức thời giữa hai hoặc nhiều thực thể mạng bất kỳ.

Nó cũng được thiết kế để có thể mở rộng để đáp ứng các chức năng bổ sung, một trong số đó là XEP-0071: XHTML-IM – một đặc tả đưa ra các quy tắc trao đổi nội dung HTML bằng giao thức XMPP.

Lỗi Cisco Jabber cho phép tin tặc tấn công Windows từ xa

Lỗ hổng trong Cisco Jabber phát sinh từ lỗ hổng cross-site scripting (XSS) khi phân tích cú pháp các tin nhắn XHTML-IM.

Các nhà nghiên cứu của Watchcom giải thích: “Ứng dụng không khử trùng đúng cách các tin nhắn HTML đến và thay vào đó chuyển chúng qua một bộ lọc XSS thiếu sót”.

Do đó, một thông báo XMPP hợp pháp có thể bị chặn và sửa đổi, do đó khiến ứng dụng chạy một tệp thực thi tùy ý đã tồn tại trong đường dẫn tệp cục bộ của ứng dụng. Để đạt được điều này, nó tận dụng một chức năng dễ bị tấn công riêng biệt trong Khung nhúng Chromium ( CEF ) – một khung mã nguồn mở được sử dụng để nhúng trình duyệt web Chromium vào các ứng dụng khác – có thể bị kẻ xấu lợi dụng để thực thi giả mạo “. exe “trên máy của nạn nhân.

Tuy nhiên, những kẻ tấn công được yêu cầu phải có quyền truy cập vào miền XMPP của nạn nhân để gửi các thông báo XMPP độc hại cần thiết để khai thác thành công lỗ hổng.

Ngoài ra, ba lỗ hổng khác trong Jabber (CVE-2020-3430, CVE-2020-3498, CVE-2020-3537) có thể bị khai thác để đưa vào các lệnh độc hại và gây tiết lộ thông tin, bao gồm khả năng thu thập lén lút các băm mật khẩu NTLM của người dùng .

Với việc các ứng dụng hội nghị truyền hình trở nên phổ biến sau đại dịch, điều cần thiết là người dùng Jabber phải cập nhật phiên bản mới nhất của phần mềm để giảm thiểu rủi ro.

Watchcom cho biết: “Với sự phổ biến mới xuất hiện của chúng trong các tổ chức thuộc mọi quy mô, các ứng dụng này đang trở thành mục tiêu ngày càng hấp dẫn đối với những kẻ tấn công”. “Nhiều thông tin nhạy cảm được chia sẻ thông qua các cuộc gọi video hoặc tin nhắn tức thì và các ứng dụng được đa số nhân viên sử dụng, kể cả những người có quyền truy cập đặc quyền vào các hệ thống CNTT khác.”

Do đó, bảo mật của các ứng dụng này là điều tối quan trọng và điều quan trọng là phải đảm bảo rằng cả bản thân các ứng dụng và cơ sở hạ tầng mà chúng đang sử dụng, đều được kiểm tra các lỗ hổng bảo mật.”

Leave a Reply