Cisco ha pubblicato le patch per alcune vulnerabilità critiche della
piattaforma di collaborazione Cisco WebEx. Quella più grave potrebbe consentire a un cyber criminale non autenticato di eseguire codice da remoto sui sistemi interessati.
Si tratta della falla CVE-2020-3342 che affligge la Webex Meetings Desktop App per Mac. È causata da una convalida impropria delle protezioni di crittografia sui file che vengono scaricati dall'applicazione come parte di un aggiornamento software.
Realizzando un exlpoit apposito, un criminale informatico potrebbe eseguire codice arbitrario sul sistema della vittima, con gli stessi privilegi dell'utente legittimo. Le versioni soggette a questa falla sono le relase Webex Meetings Desktop App per Mac precedenti alla versione 39.5.11.
La seconda vulnerabilità è la CVE-2020-3361. Potrebbe consentire a un cyber criminale non autenticato di ottenere l'accesso non autorizzato a un sito Webex vulnerabile. In questo caso il problema è da ricondurre a una gestione impropria dei token di autenticazione.
CVE-2020-3263 invece riguarda Cisco Webex Meetings Desktop App nelle versioni precedenti alla 39.5.12. Un criminale informatico potrebbe sfruttarla per eseguire programmi su un sistema vittima. La falla è causata da una convalida impropria dell'input che viene fornito agli URL delle applicazioni. Per mettere in pratica l'attacco bisogna spingere un utente a collegarsi a un URL dannoso.
Furto dei token di autenticazione
Inoltre, Cisco ha pubblicato le correzioni per la vulnerabilità CVE-2020-3347 che potrebbe consegnare a un attaccante informazioni riservate come nomi utente,
informazioni sulle riunioni o token di autenticazione.
Il problema affligge
WebEx Client per Windows ed è insidioso nonostante non sia stato classificato come critico. A scoprirlo sono stati i ricercatori di i ricercatori di Trustwave SpiderLabs.
Il ricercatore Karl Sigler ha spiegato che "il problema principale di questa vulnerabilità è che c'è una funzione in Cisco Webex che memorizza informazioni riservate e sensibili in una memoria non protetta. Qualsiasi utente, ospite, o account può scaricare questi dati e ascoltare le riunioni Webex in corso e passate, e persino impersonare l'utente di cui ha rubato i dati."
Per appropriarsi dei dati il cyber criminale deve prima avere accesso al sistema, tramite una sessione remota o un attacco di qualsiasi tipo. Non è da escludere che i criminali stiano realizzando dei malware appositi per questo scopo. Una volta nel sistema sarebbe semplice individuare i token ed esfiltrarli.
Trustwave ha segnalato la vulnerabilità a Cisco il 23 aprile, ora è disponibile la patch: è caldeggiata l'installazione della versione 40.6.0 del client WebEx.