0
0
O Zoom corrigiu vulnerabilidades em sua gama de soluções locais para conferências, negociações e gravações – Controlador de Conector de Reunião Zoom, Conector de Sala Virtual Zoom, Conector de Gravação Zoom e outros.
Os erros identificados pelo pesquisador da Positive Technologies, Egor Dimitrenko, possibilitaram que atacantes entrassem comandos para executar um ataque e, assim, obter acesso ao servidor com privilégios máximos. O principal produto da Zoom, um aplicativo de videoconferência Zoom, de acordo com LearnBonds, é o aplicativo de videoconferência mais popular nos Estados Unidos, com uma participação de mercado de 42,8%.
Os usuários do software em questão, distribuídos sob o modelo local, geralmente são grandes empresas que implantam essas soluções em suas redes para evitar vazamentos de dados.
Três vulnerabilidades de aplicativos de conferência Zoom
As injeções maliciosas foram possíveis graças à vulnerabilidade CVE-2021-34414 (que obteve uma pontuação CVSS 3.1 de 7,2). O problema foi relatado nos seguintes aplicativos Zoom no local:
- Controlador de Conector de Reunião até a versão 4.6.348.20201217
- Conector de Reunião MMR até a versão 4.6.348.20201217
- Conector de Gravação até a versão 3.8.42.20200905
- Conector de Sala Virtual até a versão 4.4.6620.20201110
- Balanceador de Carga do Conector da Sala Virtual anterior à versão 2.5.5495.20210326.
Uma segunda vulnerabilidade (CVE-2021-34415, com uma pontuação CVSS 3.0 de 7,5) poderia ter levado a uma falha no sistema. O erro foi encontrado por outra pesquisadora da Positive Technologies, Nikita Abramov, no aplicativo Zoom On-Premise Meeting Connector Controller, e o problema foi corrigido na versão 4.6.358.20210205. Como resultado da exploração dessa vulnerabilidade, os intrusos poderiam comprometer a funcionalidade do software, criando uma situação em que a realização de conferências Zoom teria sido impossível.
Uma terceira vulnerabilidade (CVE-2021-34416 com uma pontuação CVSS 3.0 de 5,5) também facilitou um ataque através da entrada de certos comandos. A falha que Egor Dimitrenko descobriu afeta os seguintes aplicativos Zoom no local:
- Conector de Reunião até a versão 4.6.360.20210325
- Conector de Reunião MMR até a versão 4.6.360.20210325
- Conector de Gravação até a versão 3.8.44.20210326
- Conector de Sala Virtual até a versão 4.4.6752.20210326
- Balanceador de Carga do Conector da Sala Virtual até a versão 2.5.5495.20210326
“Esses aplicativos processam o tráfego de todas as conferências da empresa, então, quando estão comprometidos, o maior perigo é que um intruso pode realizar um ataque Man-intheMiddle e interceptar quaisquer dados de conferências em tempo real”, explicou Dimitrenko.
“Como aplicativos desse tipo podem aparecer no perímetro, isso permite que intrusos externos executem código arbitrário no servidor com privilégios de usuário root, possibilitando que eles avancem ainda mais na rede da empresa. Para explorar a vulnerabilidade, o invasor precisa das credenciais da conta de qualquer usuário com direitos administrativos, como o usuário administrador criado no aplicativo padrão.
“No entanto, como o aplicativo não adere a uma política rigorosa de senha e não tem proteção contra adivinhação de senha através da interface da web, não é difícil para um invasor obter uma senha.”
Vulnerabilidades decorrentes da verificação insuficiente dos dados do usuário
Dimitrenko acredita que a principal razão pela qual tais vulnerabilidades surgem é a falta de verificação suficiente dos dados do usuário. “Muitas vezes você pode encontrar vulnerabilidades dessa classe em aplicativos nos quais as tarefas de administração do servidor foram delegadas. Essa vulnerabilidade sempre leva a consequências críticas e, na maioria dos casos, resulta em intrusos ganhando controle total sobre a infraestrutura de rede corporativa”, explicou ele.
Corrigir as vulnerabilidades requer uma atualização nos aplicativos afetados. A MaxPatrol VM, um sistema de gerenciamento de vulnerabilidades de nova geração, facilitará o monitoramento contínuo de vulnerabilidades dentro da infraestrutura, tanto no modo normal quanto durante inspeções de emergência. No caso de um ataque bem-sucedido, uma maneira de detectar sinais de penetração é usar soluções SIEM (em particular, MaxPatrol SIEM), que ajudam a identificar comportamentos suspeitos no servidor e impedem que intrusos avancem dentro da rede corporativa.
FONTE: HELPNET SECURITY