imágenes falsas
Cisco ha parcheado su aplicación de mensajería y conferencias Jabber contra una vulnerabilidad crítica que hizo posible que los atacantes ejecutaran código malicioso que se propagaría de una computadora a otra sin necesidad de interacción del usuario. Otra vez.
La vulnerabilidad, que se reveló por primera vez en septiembre, fue el resultado de varias fallas descubiertas por investigadores de la firma de seguridad Watchcom Security. Primero, la aplicación no filtró adecuadamente los elementos potencialmente maliciosos contenidos en los mensajes enviados por los usuarios. El filtro se basó en una lista de bloqueo incompleta que podía omitirse mediante un atributo de programación conocido como onanimationstart.
Mensajes que contenían el atributo pasado directamente al DOM de un navegador integrado. Debido a que el navegador estaba basado en Chromium Embedded Framework, ejecutaría cualquier script que pasara por el filtro.
Con el filtro omitido, los investigadores aún tenían que encontrar una manera de salir de un entorno limitado de seguridad que está diseñado para evitar que la entrada del usuario llegue a partes sensibles del sistema operativo. Los investigadores finalmente se decidieron por una función llamada CallCppFunction, que, entre otras cosas, utiliza Cisco Jabber para abrir archivos que un usuario recibe de otro.
En total, Watchcom informó de cuatro vulnerabilidades, todas las cuales recibieron parches al mismo tiempo que se dieron a conocer en septiembre. El jueves, sin embargo, los investigadores de Watchcom dijeron que las soluciones para tres de ellos estaban incompletas.
En una publicación de blog, los investigadores de la compañía escribieron:
Dos de las vulnerabilidades son causadas por la capacidad de inyectar etiquetas HTML personalizadas en los mensajes XMPP. El parche lanzado en septiembre solo parchó los puntos de inyección específicos que Watchcom había identificado. No se abordó el problema de fondo. Por lo tanto, pudimos encontrar nuevos puntos de inyección que podrían usarse para explotar las vulnerabilidades.
Uno de estos puntos de inyección es el nombre de archivo de un archivo enviado a través de Cisco Jabber. El nombre de archivo se especifica mediante el atributo de nombre de una etiqueta de archivo enviada a través de XMPP. Este atributo se muestra en el DOM cuando se recibe una transferencia de archivo entrante. El valor del atributo no se desinfecta antes de agregarse al DOM, lo que hace posible inyectar etiquetas HTML arbitrarias en el mensaje de transferencia de archivos al manipularlo.
No se habían implementado medidas de seguridad adicionales y, por lo tanto, era posible obtener la ejecución remota de código y robar hashes de contraseñas NTLM utilizando este nuevo punto de inyección.
Las tres vulnerabilidades, junto con sus descripciones y clasificaciones comunes del sistema de calificación de vulnerabilidades son:
- CVE-2023-26085: Cisco Jabber Cross-Site Scripting que conduce a RCE (CVSS 9.9)
- CVE-2023-27132: Divulgación de información de robo de hash de contraseña de Cisco Jabber (CVSS 6.5)
- CVE-2023-27127: Inyección de comando del controlador de protocolo personalizado de Cisco Jabber (CVSS 4.3)
Los investigadores recomendaron que las actualizaciones se instalen lo antes posible. Hasta que todos los empleados estén parcheados, las organizaciones deben considerar deshabilitar todas las comunicaciones externas. Las vulnerabilidades afectan a todas las versiones compatibles actualmente del cliente Cisco Jabber (12.1 a 12.9). Cisco tiene detalles aquí.
