思科WebEx線上視訊會議軟體曝命令注入漏洞

Editor發表於2018-10-30

兩名安全研究人員於近日釋出訊息稱,思科的WebEx線上視訊會議軟體受到一個嚴重漏洞的影響,該漏洞可以被利用來提供許可權並執行任意命令。


這個安全漏洞由來自Counter Hack的Ron Bowes和Jeff McJunkin發現,並被命名為“WebExec”。為了讓公眾能夠更加清楚地瞭解該漏洞,兩名安全研究人員還為它專門建立了一個網站(webexec.org)。


該漏洞被追蹤為CVE-2018-15442,在今年8月初通報給了思科,修復補丁在兩個月內釋出。思科與兩名安全研究人員協商了漏洞的披露時間,並且沒有證據表明它已經被用於惡意目的。


從webexec.org所展示的資訊來看,WebExec是一個存在於思科WebEx客戶端軟體中的一個漏洞。在安裝WebEx客戶端時,一個名為“WebExService”的Windows服務也同時會被安裝,而該服務能夠以SYSTEM賬戶許可權執行任意命令。


由於不恰當的訪問控制列表(Access Control List,ACL),任何本地或域使用者都可以通過視窗的遠端服務介面啟動程式(Windows 10除外,它需要管理員登入)。


受該漏洞影響的WebEx軟體包括Cisco Webex Meetings Desktop App 33.5.6之前的所有版本,以及Cisco Webex Productivity Tools 32.6.0到33.0.5之間的所有版本。


目前,該漏洞已經在Cisco Webex Meetings Desktop App 33.5.6和33.6.0,以及Cisco Webex Productivity Tools 33.0.5及更高版本中得到修復。額外需要提一下的是,自Cisco Webex Meetings 33.2.0釋出以來,Cisco Webex Productivity Tools已經被Cisco Webex Meetings Desktop App所取代。


在webexec.org上,Ron Bowes和Jeff McJunkin還提供了基於Nmap(Linux下的網路掃描和嗅探工具包)和Metasploit(一款開源的安全漏洞檢測工具)的概念驗證(PoC)程式碼,可用於利用該漏洞。另外,他們也提供了一個漏洞檢查工具(一個Nmap指令碼),可供我們檢查自己的系統是否受該漏洞影響。

相關文章