Ron Bowes และ Jeff McJunkin จาก Counter Hack ที่เป็นองค์กรที่จัดการแข่งขันแฮ็ก ได้ค้นพบช่องโหว่ใหม่ใน Cisco's WebEx ผู้โจมตีสามารถรันคำสั่งจากระยะไกลผ่าน WebEx client แม้ว่า WebEx ไม่ได้เปิดการเชื่อมต่อก็ตาม
ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลเป็นข้อผิดพลาดที่อนุญาตให้ผู้ใช้งานสามารถเชื่อมต่อและรันคำสั่งต่างๆกับแอพพลิเคชั่นที่มีช่องโหว่จากระยะไกลได้ นอกจากนี้ยังสามารถยกระดับสิทธิ์ในการรันคำสั่งได้อีกด้วย ช่องโหว่ดังกล่าวถูกค้นพบในขณะที่นักวิจัยด้านความปลอดภัยทั้งสองกำลังทำ pentest เพื่อหาทางยกสิทธิ์ของ local user โดยได้สังเกตเห็นว่า Cisco WebEx ใช้บริการที่เรียกว่า "WebexService" ที่สามารถถูก start และ stop ได้โดยใครก็ได้ และทำงานภายใต้สิทธิ์ system ทั้งสองได้ตั้งชื่อให้ช่องโหว่นี้ว่า "WebExec"
ทาง Cisco ได้ทำการแก้ไขช่องโหว่ดังกล่าวบน Cisco Webex Productivity Tools ในเวอร์ชัน 33.0.5 และใหม่กว่า และได้ให้รายละเอียดเพิ่มเติมว่า "Cisco Webex Productivity Tools จะได้รับการแทนที่ด้วย Cisco Webex Meetings Desktop App เมื่อมีการปล่อยเวอร์ชัน 33.2.0 ออกมา ผู้ใช้งานสามารถอัปเดตด้วยการเปิดแอปพลิเคชัน Cisco Webex Meetings และเลือกไปที่ "Settings" แล้วเลือก "Check for Updates" จาก drop-down list ซึ่งสามารถดูรายละเอียดเพิ่มเติมได้จากลิงก์ด้านล่าง
ลิงก์ --> [https://collaborationhelp.cisco.com/article/en-us/nk758tr]
ที่มา: bleepingcomputer
You must be logged in to post a comment.