Cisco heeft een beveiligingsupdate uitgegeven voor Webex Meetings. De update moet een te misbruiken kwetsbaarheid dichten die kan leiden tot privilege escalation. Door de fout in de desktop-app voor Windows “kan een lokale aanvaller willekeurige opdrachten uitvoeren als een gebruiker met privileges”.
Het probleem is ontstaan doordat er de parameters die door de gebruiker geleverd worden niet voldoende gevalideerd worden. Een aanvaller kan dit misbruiken door het service command te updaten met een eigen argument. Het systeem kan daardoor willekeurige commando’s uitvoeren met privileges van systeemgebruikers.
De kwetsbaarheid komt voor in alle versies van de desktop-app voor Windows voor 33.6.0, en in de Cisco Webex Productivity Tools 32.6.0 en later en voor versies 33.0.5 op Windows. Bovendien is er geen andere manier voor gebruikers om zich tegen de kwetsbaarheid te beschermen, dus de enige oplossing is het installeren van de update.
Andere kwetsbaarheden
De kwetsbaarheid werd bekendgemaakt op hetzelfde moment als een andere kwetsbaarheid: de libssh-bug, dat impact heeft op verkopers die de bibliotheek gebruiken. De fout werd vorige week bekendgemaakt. Aanvallers kunnen daarmee op afstand toegang krijgen tot een systeem.
Vorige maand loste Cisco nog twee andere kwetsbaarheden op in het Digital Network Architecture Center. Als die misbruikt werden, konden aanvallers op afstand de controle van identiteitsmanagementfuncties overnemen, evenals toegang krijgen tot belangrijke management functies.
In september werd een patch uitgebracht voor de Video Surveillance Manager. Door een fout in die software zaten credentials hardcoded in het root-account. Daardoor konden hackers een getroffen systeem als root-gebruikers besturen, mochten ze de credentials ontdekken. Ook toen werd aangeraden om de update zo snel mogelijk te installeren.
9 uur geleden
