Falla de parches de Cisco en la aplicación de videoconferencia Webex


La vulnerabilidad habría permitido que un atacante obtuviera acceso a información confidencial en un sistema, dice SpiderLab de Trustwave.

Cisco ha reparado una falla de seguridad en su software program de videoconferencia y mensajería Webex para Home windows que habría permitido que un atacante autenticado suplante a un usuario legítimo, descargue grabaciones, vea o edite información de reuniones y robe nombres de usuario y otros datos.

La vulnerabilidad – rastreada como CVE-2020-3347 – resultó de lo que Cisco describió como el uso inseguro de la memoria compartida en versiones de la aplicación de escritorio Webex Conferences para Home windows anteriores a 40.6.. Es uno de los tres defectos en Webex para los cuales la compañía emitió parches esta semana.

Las versiones afectadas de Webex usan memoria compartida para intercambiar información confidencial, como tokens de autenticación, nombres de usuario e información de reuniones con Home windows y otras aplicaciones, señaló el proveedor. La vulnerabilidad, que un investigador de seguridad de Trustwave SpiderLabs descubrió e informó recientemente a Cisco, básicamente permitió a un atacante que ya había autenticado el acceso en un sistema para acceder y recuperar la información de la ubicación compartida.

«Los usuarios malintencionados pueden abrir y volcar el contenido de este archivo si tienen acceso de inicio de sesión a la máquina», dijo Trustwave en un aviso sobre la falla el jueves. «En pocas palabras, otro usuario puede recorrer las sesiones e intentar abrir, leer y guardar contenidos interesantes para futuras inspecciones».

El propio Cisco calificó la vulnerabilidad como de gravedad media, probablemente porque un atacante ya debería estar en un sistema para explotarlo. Ilia Kolochenko, fundadora y directora ejecutiva de ImmuniWeb, dice que solo el hecho habría limitado severamente la explotación práctica de la falla. Un atacante creativo que ya tenía acceso libre a un sistema probablemente no habría necesitado explotar los defectos de Webex para obtener la información, dice.

Aun así, la falla representa una falla del equipo de Webex en seguir las mejores prácticas fundamentales de desarrollo de program. «Los usuarios que comparten sus máquinas con terceros deben instalar la actualización de seguridad disponible sin demora», dice Kolochenko.

Karl Sigler, gerente senior de investigación de seguridad en SpiderLabs de Trustwave, dice que un atacante no necesariamente necesitaría iniciar sesión directamente en una máquina para aprovechar la falla de Webex. «Podrían crear malware que, cuando se implanta en el sistema de la víctima, podría monitorear constantemente los tokens Webex», dice. «Eso le daría al atacante acceso a las próximas reuniones, reuniones pasadas y cualquier grabación de reunión existente. Todo esto podría filtrar información confidencial a un atacante».

Riesgos aumentados
La falla de Webex es la última en resaltar lo que varios investigadores de seguridad han señalado es la mayor exposición al robo y pérdida de datos que enfrentan las organizaciones por el mayor uso de herramientas de videoconferencia de terceros como Webex, Zoom y Microsoft Groups por el trabajo desde empleados a domicilio.

En los últimos meses, los investigadores de seguridad han descubierto vulnerabilidades relativamente graves en las tres plataformas, incluso cuando las organizaciones han aumentado el uso de estas tecnologías para apoyar a los trabajadores obligados a trabajar desde casa debido a las medidas de distanciamiento social.

A principios de este mes, por ejemplo, los investigadores de Cisco Talos descubrieron dos vulnerabilidades graves en Zoom, uno de los cuales habría permitido a los atacantes ejecutar código de forma remota en sistemas comprometidos. Los investigadores de seguridad han descubierto muchos otros problemas con Zoom en los últimos meses.

Zoom no es el único con problemas. En abril, Microsoft se apresuró a emitir un parche después de que los investigadores de CyberArk descubrieran una falla en los equipos que habría permitido a los atacantes robar datos de la cuenta utilizando un GIF especialmente diseñado.

Cisco también ha tenido problemas con Webex. Solo esta semana, la compañía emitió parches para otros dos problemas de seguridad reportados por separado en Webex. Uno de ellos fue un error de validación de entrada incorrecto que habría permitido a un atacante remoto ejecutar código arbitrario en un sistema vulnerable (CVE-2020-3263) La segunda falla afectó una función de actualización de software program en la aplicación de escritorio Cisco Webex Meetings para Mac (CVE-2020-3342) y permitió la ejecución remota de código también.

El firmante de Trustwave dice que lo importante para las organizaciones es prestar más atención a las herramientas de colaboración que están utilizando. «Para minimizar su riesgo, asegúrese de que su solución de online video (y) mensajería esté actualizada en parches y asegúrese de que esté utilizando una autenticación larga y sólida tanto para sus cuentas de usuario como para las reuniones en sí».

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para ese «día realmente malo» en ciberseguridad. Haga clic para más información y para registrarse para este evento bajo demanda.

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más concepts





Enlace a la noticia authentic