Cisco ha abordado una nueva vulnerabilidad de ejecución remota de código (RCE) de gravedad crítica que afecta a varias versiones de Cisco Jabber para Windows, macOS y plataformas móviles después de parchear un error de seguridad relacionado en septiembre.

Cisco Jabber es una aplicación de escritorio de mensajería instantánea y conferencias web creada con el marco integrado de Chromium (CEF).

La aplicación envía mensajes entre usuarios que utilizan el Protocolo extensible de mensajería y presencia (XMPP) y también les proporciona funciones de presencia y uso compartido de escritorio.

RCE derivado de una mitigación insuficiente

Cisco lanzó actualizaciones de seguridad en septiembre para abordar una vulnerabilidad de seguridad crítica de RCE rastreada como CVE-2020-3495 derivada de un error de Cross-Site Scripting (XSS) en Cisco Jabber.

Desde entonces, los investigadores de Watchcom encontraron una nueva vulnerabilidad RCE con gusanos que informaron CVE-2020-3495 a Cisco después de verificar si el parche de septiembre mitigó completamente CVE-2020-3495.

“Durante esta auditoría, descubrimos que las vulnerabilidades más graves, incluida la vulnerabilidad RCE, no se han mitigado adecuadamente y que los usuarios siguen siendo vulnerables”, dice Watchcom.

“Los parches ya están disponibles e instamos a todos los usuarios de Cisco Jabber a que se actualicen lo antes posible”.

En total, los investigadores informaron cuatro vulnerabilidades de clientes de Cisco Jabber en septiembre y, como encontraron, tres de ellas no fueron mitigadas de manera insuficiente por los parches de Cisco.

Esto les permitió detectar nuevas vulnerabilidades de las que se podría abusar para explotar todas las versiones de Cisco Jabber compatibles actualmente, desde la 12.1 hasta la 12.9.

Cisco Jabber XSS no mitigado
Cisco Jabber XSS no está completamente mitigado ( Watchcom )

Vulnerabilidades de gravedad media a crítica

Al igual que la falla anterior, la vulnerabilidad RCE recién descubierta rastreada como CVE-2020-26085 es un error XSS que puede permitir a los atacantes ejecutar código arbitrario de forma remota escapando del sandbox CEF de Cisco Jabber.

Al igual que CVE-2020-3495, también se debe a una validación de entrada incorrecta del contenido de los mensajes entrantes y recibió una puntuación base CVSS de casi un máximo de 9,9.

“Esta vulnerabilidad no requiere la interacción del usuario y se puede manipular, ya que la carga útil se envía a través de un mensaje instantáneo”, dice Watchcom. “Esto significa que se puede utilizar para difundir malware automáticamente sin la interacción del usuario”.

Los investigadores de Watchcom también detectaron un segundo error (CVE-2020-27132), una vulnerabilidad de divulgación de información de robo de hash de contraseña que puede permitir a los atacantes recolectar hash de contraseña NTLM de objetivos que utilizan versiones vulnerables de Cisco Jabber.

La tercera y última vulnerabilidad descubierta al auditar los parches de septiembre de Cisco es causada por un error de inyección de comandos en los controladores de protocolos personalizados de Cisco Jabber que pueden permitir a los atacantes hacerse cargo del navegador integrado en el cliente Cisco Jabber de los objetivos.

“Dado que algunas de las vulnerabilidades se pueden eliminar, las organizaciones deberían considerar la posibilidad de deshabilitar la comunicación con organizaciones externas a través de Cisco Jabber hasta que todos los empleados hayan instalado la actualización”, advierte Watchcom. “Esto se puede hacer desactivando la federación XMPP o configurando una política para la federación XMPP”.

Esto se puede hacer iniciando transferencias de archivos que contienen archivos .exe maliciosos y obligando a las víctimas a aceptarlos mediante un ataque XSS.

Esto permite a los atacantes ejecutar el archivo malicioso en la computadora de un objetivo sin requerir la interacción del usuario.

A continuación se incluye un video de cómo los atacantes podrían usar las vulnerabilidades de Cisco Jabber parcheadas en septiembre de 2020.

Sin embargo, para las vulnerabilidades recién descubiertas, “el código del atacante se agregaría a un mensaje de intercambio de archivos en lugar de a un mensaje normal”, como dijo Olav Sortland Thoresen de Watchcom a BleepingComputer.

Línea de tiempo:

  • 2 de septiembre de 2020: Vulnerabilidades originales divulgadas públicamente. Parches lanzados por Cisco.
  • 25 de septiembre de 2020: nuevas vulnerabilidades descubiertas e informadas a Cisco PSIRT. Número de caso asignado por Cisco. Problema remitido al equipo de ingeniería de Cisco Jabber.
  • 12 de octubre de 2020: Vulnerabilidades confirmadas por Cisco.
  • 12 de octubre de 2020-10 de diciembre de 2020: parches desarrollados.
  • 10 de diciembre de 2020: parches publicados. Vulnerabilidades divulgadas públicamente.