Une faille de Cisco Jabber peut être exploitée par des pirates

Les chercheurs mettent en garde contre une faille critique d’exécution de code à distance dans la version Windows de Cisco Jabber, l’application de vidéoconférence et de messagerie instantanée de la société américaine Cisco. Les pirates peuvent exploiter la faille simplement en envoyant à des cibles des messages spécialement conçus. Aucune interaction de l’utilisateur n’est requise.

La faille (CVE-2020-3495) a un score CVSS de 9,9 sur 10, ce qui la rend critique en terme de gravité, a déclaré Cisco dans un communiqué. Les chercheurs de Watchcom, qui ont découvert la faille, ont déclaré qu’avec l’augmentation du travail à distance pendant la pandémie de coronavirus, les conséquences de la vulnérabilité sont particulièrement graves.

«Compte tenu de leur nouvelle prévalence dans les organisations de toutes tailles, ces applications deviennent une cible de plus en plus attrayante pour les pirates informatiques», ont déclaré les chercheurs de Watchcom dans une analyse. «De nombreuses informations sensibles sont partagées via des appels vidéo ou des messages instantanés, et les applications sont utilisées par la majorité des employés, y compris ceux qui disposent d’un accès privilégié à d’autres systèmes informatiques.»

Un attaquant pourrait exploiter la faille en envoyant des messages XMPP (Extensible Messaging Presence Protocol) à des systèmes d’utilisateurs finaux vulnérables exécutant Cisco Jabber pour Windows. XMPP est un protocole open source basé sur XML pour la messagerie instantanée, il est largement utilisé dans les logiciels open source et propriétaires.

Alors que les pirates peuvent être à distance pour lancer une telle attaque, ils peuvent avoir besoin d’accéder au même domaine XMPP ou à une autre méthode d’accès pour pouvoir envoyer des messages aux clients, selon les chercheurs. Cependant, dans la plupart des cas, l’attaque est facile à mener: aucune interaction n’est requise de la part de la victime ciblée et la vulnérabilité peut être exploitée même lorsque Cisco Jabber est exécuté en arrière-plan.

Le problème provient du fait que Cisco Jabber ne valide pas correctement le contenu du message; l’application n’assainit pas correctement les messages HTML entrants. À la place, il transmet les messages à un filtre de script intersite (XSS) défectueux. Les chercheurs ont découvert que ce filtre pouvait être contourné à l’aide d’un attribut appelé «onanimationstart». Cet attribut est utilisé pour spécifier une fonction JavaScript qui sera appelée lorsque l’animation CSS d’un élément démarre.

En utilisant l’attribut (avec une animation intégrée qui lui est assignée), les chercheurs ont découvert qu’il était possible de créer des balises HTML malveillantes que le filtre n’a pas détectées et de les exécutées. Enfin, les chercheurs ont créé un message malveillant à l’aide de ces balises HTML, qui ont ensuite intercepté un message XMPP envoyé par l’application et l’ont modifié.

cisco jabber

Les pirates informatiques peuvent le faire manuellement sur leur propre machine ou cela peut être automatisé pour créer un ver qui se propage automatiquement, ont déclaré les chercheurs.

Enfin, «à la suite d’une exploitation, un hacker pourrait amener l’application à exécuter un exécutable arbitraire qui existe déjà dans le chemin de fichier local de l’application», selon Cisco. «L’exécutable s’exécuterait sur le système de l’utilisateur final avec les privilèges de l’utilisateur qui a lancé l’application client Cisco Jabber.»

Les systèmes utilisant Cisco Jabber en mode téléphone uniquement (sans les services de messagerie XMPP activés) ne sont pas vulnérables à l’exploitation, selon l’avis de Cisco. De plus, la vulnérabilité n’est pas exploitable lorsque Cisco Jabber est configuré pour utiliser des services de messagerie autres que la messagerie XMPP.

Les vulnérabilités affectent toutes les versions actuellement prises en charge du client Cisco Jabber (12.1 – 12.9).

Mise à jour de Cisco Jabber

Cisco a déployé des mises à jour pour les différentes versions de Cisco Jabber qui sont concernées. Consultez les correctifs dans le tableau ci-dessous:

cisco jabber

Les chercheurs ont déclaré avoir trouvé trois autres vulnérabilités dans Cisco Jabber, notamment une infection protocol-handler-command (CVE-2020-3430), une faille de divulgation d’informations (CVE-2020-3498) et un problème de gestion des liens (CVE-2020-3537).

Cisco a déclaré n’avoir aucune connaissance d’une divulgation publique ou d’une utilisation malveillante de la faille de sécurité.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x