اضافه‌شدن ویژگی‌های امنیتی جدید و وصله‌ی آسیب‌پذیری‌های جدی در Webex توسط سیسکو

شرکت تولیدکننده‌ی تجهیزات شبکه‌ی سیسکو، از اضافه‌شدن ویژگی‌های امنیتی جدید و وصله‌ی چندین آسیب‌پذیری‌ با شدت بالا در نرم‌افزار کنفرانس ویدئویی Webex خود خبر داد.

سیسکو با انتشار این خبر، اعلام کرد که ویژگی‌های data loss prevention (DLP)، Legal Hold و eDiscovery را به Webex Meetings گسترش داده است. به گفته‌ی سیسکو، با اضافه‌شدن این ویژگی‌ها سطح امنیتی و حفاظتی بی‌سابقه‌ای برای تمامی محتوای جلسات فراهم می‌شود. این شرکت همچنین با هدف افزایش محافظت از داده‌های جلسات در برابر دستکاری، به‌دنبال گسترش گزینه‌های رمزنگاری انتها به انتهای خود برای گنجاندن رمزنگاری AES 256 Bit با حالت GCM در آن است.

علاوه‌براین، سیسکو چندین مشاوره‌نامه‌ی امنیتی را برای آسیب‌پذیری‌های موجود در Webex منتشر کرده است. سه مورد از این آسیب‌پذیری‌ها با شدت بالا و یک مورد، با شدت متوسط طبقه‌بندی شده‌اند.

یکی از آسیب‌های با شدت بالا که با شناسه‌ی CVE-2020-3361 ردیابی می‌شود، به مهاجم راه دور و تأییدنشده اجازه می‌دهد تا با ارسال درخواست‌های خاص طراحی‌شده، به‌صورت غیرمجاز به یک وب‌سایت Webex دسترسی پیدا کند. این آسیب‌پذیری وب‌سایت‌های Webex Meetings و سرور Webex Meetings  را تحت تأثیر قرار می‌دهد.

یکی دیگر از آسیب‌پذیری‌ها که با شناسه‌ی CVE-2020-3263 ردیابی می‌شود، در برنامه‌ی دسکتاپ Webex Meetings شناسایی شده است. این آسیب‌پذیری می‌تواند به یک مهاجم راه دور و تأییدنشده اجازه دهد تا با متقاعدکردن قربانی برای کلیک‌کردن بر روی یک URL مخرب، برنامه‌های دلخواهی را که بر روی سیستم هدف موجود هستند، اجرا کند. به گفته‌ی سیسکو، درصورتی که فایل‌های مخرب بر روی سیستم یا در مسیر دسترسی به فایل شبکه قرار گیرند، مهاجم می‌تواند كد دلخواه خود را بر روی سیستم آسیب‌دیده اجرا كند.

از سوی دیگر، برنامه‌ی دسکتاپ Webex Meetings برای سیستم عامل Mac نیز تحت تأثیر یک آسیب‌پذیری قرار دارد که شناسه‌ی CVE-2020-3342 به آن اختصاص داده شده است. این آسیب‌پذیری به مهاجم راه دور و تأییدنشده اجازه می‌دهد تا با سوءاستفاده از ویژگی به‌روزرسانی نرم‌افزار و متقاعدکردن قربانی برای دسترسی به یک وب‌سایت مخرب، كد دلخواه خود را بر روی سیستم هدف اجرا كند. این وب‌سایت مخرب، فایل‌های مشابه با فایل‌های میزبانی‌شده بر روی وب‌سایت قانونی Webex را ارائه می‌دهد.

محققان همچنین دریافتند که نسخه‌ی ویندوز برنامه Webex Meetings نیز آسیب‌پذیر است. این آسیب‌پذیری به مهاجمی که به سیستم هدف دسترسی دارد، اجازه می‌دهد تا نام‌های کاربری، اطلاعات جلسات و توکن‌های احراز هویت را از حافظه بدست آورد. پس از دستیابی به این توکن‌ها، مهاجم می‌تواند آن‌ها را مانند هر گواهی‌نامه‌ی دیگری برای ورود به حساب کاربری مورد نظر در WebEx، دانلود Recordings و مشاهده/ویرایش جلسات مورد استفاده قرار دهد.

سیسکو اخیرا از وصله‌ی چند آسیب‌پذیری با شدت بالا در محصول TelePresence و مسیریاب‌های سری Small Business RV نیز خبر داده است. درحالی‌که این نقص‌ها می‌توانند از راه دور مورد بهره‌برداری قرار بگیرند، اما برای این منظور، به احراز هویت و در مسیریاب‌‌ها، به امتیازهای مدیریتی نیاز است. به گفته‌ی سیسکو، هیچ مدرکی مبنی‌بر بهره‌برداری از آسیب‌پذیری‌های وصله‌شده در دنیای واقعی وجود ندارد.

منبع

پست‌های مشابه

Leave a Comment