요약
-지난 달 10월 24일에 패치된 취약점(CVE-20180-15442)에 대해 두 번째 패치.
-최초 취약점 : 사용자 제공 파라미터를 충분히 검증하지 않아 인증을 받은 로컬 공격자가 SYSTEM 권한으로 임의의 명령을 실행할 수 있음.
로컬에서 공격을 해야 하나 어플리케이션 인증을 받을 필요가 없음. 또한 Active Directory deployment에서 원격 운영체제 관리 툴을 이용한 원격 공격이 가능할 수 있음.
-10월 패치의 취약점 : DLL 하이재킹(소셜 엔지니어 등을 통해 사용자가 어플리케이션을 실행하면 시스템에 파일을 삽입할 수 있음)을 통해
우회가 가능함.
로컬 공격자 ptUpdate.exe 바이너리와 wbxtrace.dll 파일이 있는 컨트롤러 폴더를 복사해 공격 가능. 권한을 얻기 위해서 공격자는 반드시 명령어 라인 sc start webexservice install software-update 1 ‘attacker-controlled-path’ 으로 시작해야 함 (파라미터 1이 맞지 않을 시 파라미터 2사용)
-심각도 : High
-CVSS Score : Base 7.8
-해당제품 : Microsoft Windows 엔드유저 시스템으로 실행 시
Cisco Webex Meetings Desktop App 33.6.4 이전 버전
Cisco Webex Productivity Tools releases 32.6.0 이상 33.0.6 이전 버전
-대응방안 :
-Cisco Webex Meetings Desktop App 33.6.4 혹은 이후 버전으로 업데이트
-Cisco Webex Productivity Tools releases 33.0.6 이상 버전으로 업데이트
(-> Cisco Webex Productivity Tools은 옵션 어플리케이션으로 Cisco Webex Meetings Desktop App 33.2.0으로 대체 되어 별도의 업데이트가 필요하지 않을 수 있음)
관련 CVE정보
-CVE-20180-15442
-PoC : https://www.secureauth.com/labs/advisories/cisco-webex-meetings-elevation-privilege-vulnerability
참고자료
출처: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181024-webex-injection
https://www.securityweek.com/cisco-releases-second-patch-webex-meetings-vulnerability
https://threatpost.com/cisco-re-issues-patch-for-high-severity-webex-flaw/139412/?utm_source=twitter&utm_medium=social&utm_campaign=us_tpnov27_organic&utm_content=link&utm_term=us_twitter_organic_link_social_tpnov27
'Vulnerability' 카테고리의 다른 글
[2018.12.13] phpmyadmin LFI (Local file inclusion) 취약점 (CVE-2018-19968) (0) | 2019.03.14 |
---|---|
[2018.11.30] Cisco Prime License Manager SQL 삽입 취약점 (CVE-2018-15441) (0) | 2019.03.13 |
[2018.11.27] Google, Google Play에 게임으로 가장한 악성 앱 발견 후 삭제 (0) | 2019.03.13 |
[2018.11.26] VMware Workstation and Fusion 주소, 정수 오버플로우 취약점 패치(CVE-2018-6983) (0) | 2019.03.13 |
[2018.11.22] Gmail 버그, '보내는이'없이 메일 전송 가능 (0) | 2019.03.13 |