兩名安全研究人員於近日發佈消息稱,思科的WebEx在線視頻會議軟件受到一個嚴重漏洞的影響,該漏洞可以被利用來提供權限並執行任意命令。
這個安全漏洞由來自Counter Hack的Ron Bowes和Jeff McJunkin發現,並被命名爲“WebExec”。爲了讓公衆能夠更加清楚地瞭解該漏洞,兩名安全研究人員還爲它專門建立了一個網站(webexec.org)。
該漏洞被追蹤爲CVE-2018-15442,在今年8月初通報給了思科,修復補丁在兩個月內發佈。思科與兩名安全研究人員協商了漏洞的披露時間,並且沒有證據表明它已經被用於惡意目的。
從webexec.org所展示的信息來看,WebExec是一個存在於思科WebEx客戶端軟件中的一個漏洞。在安裝WebEx客戶端時,一個名爲“WebExService”的Windows服務也同時會被安裝,而該服務能夠以SYSTEM賬戶權限執行任意命令。由於不恰當的訪問控制列表(Access Control List,ACL),任何本地或域用戶都可以通過窗口的遠程服務接口啓動進程(Windows 10除外,它需要管理員登錄)。
受該漏洞影響的WebEx軟件包括Cisco Webex Meetings Desktop App 33.5.6之前的所有版本,以及Cisco Webex Productivity Tools 32.6.0到33.0.5之間的所有版本。目前,該漏洞已經在Cisco Webex Meetings Desktop App 33.5.6和33.6.0,以及Cisco Webex Productivity Tools 33.0.5及更高版本中得到修復。額外需要提一下的是,自Cisco Webex Meetings 33.2.0發佈以來,Cisco Webex Productivity Tools已經被Cisco Webex Meetings Desktop App所取代。
在webexec.org上,Ron Bowes和Jeff McJunkin還提供了基於Nmap(Linux下的網絡掃描和嗅探工具包)和Metasploit(一款開源的安全漏洞檢測工具)的概念驗證(PoC)代碼,可用於利用該漏洞。另外,他們也提供了一個漏洞檢查工具(一個Nmap腳本),可供我們檢查自己的系統是否受該漏洞影響。