Cisco lanzó hoy actualizaciones de seguridad para abordar dos vulnerabilidades de alta gravedad que se encuentran en la aplicación de escritorio Cisco Webex Meetings para Windows y macOS que podrían permitir a los atacantes no privilegiados ejecutar programas y códigos en máquinas vulnerables.
Cisco Webex Meetings es un software de reunión y videoconferencia en línea que facilita la programación y la participación en reuniones. La plataforma también proporciona capacidades de presentación, uso compartido de pantalla y grabación.
Las dos vulnerabilidades se rastrean como CVE-2020-3263 y CVE-2020-3342, y afectan las versiones de la aplicación de escritorio Cisco Webex Meetings anteriores a 39.5.12 y las versiones de bloqueo de la aplicación de escritorio Cisco Webex Meetings para Mac anteriores a 39.5.11, respectivamente.
La falla de seguridad de ejecución arbitraria del programa que afecta al cliente de Windows es causada por la validación de entrada incorrecta de las URL suministradas a las versiones afectadas de la aplicación de escritorio Cisco Webex Meetings.
CVE-2020-3263 podría permitir a los atacantes remotos no autenticados ejecutar programas en sistemas que ejecutan una versión de la aplicación de escritorio Cisco Webex Meetings sin parches. Un atacante puede aprovechar esta vulnerabilidad engañando al objetivo para que haga clic en una URL maliciosa.
«Una explotación exitosa podría permitir que el atacante haga que la aplicación ejecute otros programas que ya están presentes en el sistema del usuario final», dice el aviso de Cisco.
«Si se plantan archivos maliciosos en el sistema o en una ruta de archivo de red accesible, el atacante podría ejecutar código arbitrario en el sistema afectado».
La vulnerabilidad de ejecución remota de código encontrada en el cliente macOS se debe a la validación incorrecta del certificado en los archivos de actualización de software descargados por las versiones afectadas de la aplicación de escritorio Cisco Webex Meetings para Mac.
CVE-2020-3342 podría hacer posible que los atacantes no autenticados ejecuten de forma remota código arbitrario con los privilegios del usuario que inició sesión en Macs que ejecutan versiones sin parches de la aplicación de escritorio Cisco Webex Meetings para Mac.
«Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario para que vaya a un sitio web que devuelva al cliente archivos que son similares a los archivos que se devuelven de un sitio web válido de Webex», explica Cisco.
«El cliente puede fallar al validar adecuadamente las protecciones criptográficas de los archivos proporcionados antes de ejecutarlos como parte de una actualización».
Si bien no existen soluciones alternativas que aborden estas dos vulnerabilidades, Cisco ha lanzado actualizaciones de software gratuitas para corregir las fallas.
El Equipo de respuesta a incidentes de seguridad de productos de Cisco (PSIRT) no tenía conocimiento de ningún informe público o uso malicioso de estas vulnerabilidades cuando se publicaron las advertencias.
Cisco reparó CVE-2020-3263 en las versiones de la aplicación de escritorio Cisco Webex Meetings 40.1.0 y posteriores (en las versiones 39.5.12 y posteriores para las versiones de bloqueo).
CVE-2020-3342 se corrigió en Cisco Webex Meetings Desktop App para Mac versiones 39.5.11 y posteriores para versiones de bloqueo.
Los usuarios de Windows y macOS pueden actualizar la aplicación de escritorio Cisco Webex Meetings usando las instrucciones del artículo del centro de ayuda: Actualizar la aplicación de escritorio Cisco Webex Meetings.
Los administradores pueden actualizar las dos aplicaciones para todas sus bases de usuarios siguiendo las instrucciones detalladas disponibles en la Guía del administrador de TI para la implementación masiva de la aplicación de escritorio Cisco Webex Meetings.
Esta no es la primera vez que se encuentran y corrigen vulnerabilidades en el software de colaboración de video en línea WebEx de Cisco.
El año pasado, Cisco también parchó un problema de seguridad de escalación de privilegios que se encuentra en el servicio de actualización de la aplicación de escritorio Cisco Webex Meetings para Windows que podría haber permitido a los atacantes locales no autenticados elevar privilegios y ejecutar comandos arbitrarios con privilegios de usuario de SYSTEM.
Referencia: https://www.bleepingcomputer.com/news/security/cisco-fixes-severe-flaws-in-webex-meetings-for-windows-macos/