思科Webex在线视频会议软件曝命令注入漏洞

来源:黑客视界2019.06.20

两名安全研究人员于近日发布消息称,思科的WebEx在线视频会议软件受到一个严重漏洞的影响,该漏洞可以被利用来提供权限并执行任意命令。

这个安全漏洞由来自Counter Hack的Ron Bowes和Jeff McJunkin发现,并被命名为“WebExec”。为了让公众能够更加清楚地了解该漏洞,两名安全研究人员还为它专门建立了一个网站(webexec.org)。

该漏洞被追踪为CVE-2018-15442,在今年8月初通报给了思科,修复补丁在两个月内发布。思科与两名安全研究人员协商了漏洞的披露时间,并且没有证据表明它已经被用于恶意目的。

从webexec.org所展示的信息来看,WebExec是一个存在于思科WebEx客户端软件中的一个漏洞。在安装WebEx客户端时,一个名为“WebExService”的Windows服务也同时会被安装,而该服务能够以SYSTEM账户权限执行任意命令。由于不恰当的访问控制列表(Access Control List,ACL),任何本地或域用户都可以通过窗口的远程服务接口启动进程(Windows 10除外,它需要管理员登录)。

受该漏洞影响的WebEx软件包括Cisco Webex Meetings Desktop App 33.5.6之前的所有版本,以及Cisco Webex Productivity Tools 32.6.0到33.0.5之间的所有版本。目前,该漏洞已经在Cisco Webex Meetings Desktop App 33.5.6和33.6.0,以及Cisco Webex Productivity Tools 33.0.5及更高版本中得到修复。额外需要提一下的是,自Cisco Webex Meetings 33.2.0发布以来,Cisco Webex Productivity Tools已经被Cisco Webex Meetings Desktop App所取代。

在webexec.org上,Ron Bowes和Jeff McJunkin还提供了基于Nmap(Linux下的网络扫描和嗅探工具包)和Metasploit(一款开源的安全漏洞检测工具)的概念验证(PoC)代码,可用于利用该漏洞。另外,他们也提供了一个漏洞检查工具(一个Nmap脚本),可供我们检查自己的系统是否受该漏洞影响。

热门文章

  • 七一将临,过去几周网络黑客攻击暴增30%

    在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。

  • FBI 向托管 Cyclops Blink 恶意软件的僵尸网络服务器发起了行动

    美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。

  • Meta 在新报告中提及黑客组织发布虚假的“乌克兰军队投降”信息

    根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。

关注知道创宇云安全

获取安全动态