Хорошая система диагностики сегодня лучше безупречного завтра.
Ремейк Закон Паттона

Ремейк Закон Паттона

 

Связь с редакцией
Рассылка новостей

Positive Technologies помогла устранить уязвимости в Zoom

16.11.2021 10:13

Компания Zoom Video Communications исправила уязвимости в линейке своих локальных решений для конференций, переговоров и их записей — Zoom Meeting Connector Controller, Zoom Virtual Room Connector, Zoom Recording Connector и других. Ошибки, выявленные экспертом Positive Technologies Егором Димитренко, позволяли путем внедрения команд выполнить атаку и получить доступ к серверу с максимальными привилегиями. Основной продукт компании — приложение для видеоконференций Zoom, по данным LearnBonds, является самым популярным приложением в сегменте видео-конференц-связи в США, его доля составляет 42,8%.

Пользователями исследованного ПО, распространяемого по модели on-premise, являются, как правило, крупные компании, которые разворачивают эти решения в своей сети с целью предотвращения утечек информации.

Вредоносная инъекция была возможна из-за уязвимости CVE-2021-34414 (оценка 7,2 по шкале CVSS 3.1), обнаруженной Егором Димитренко. Проблема отмечена в следующих приложениях Zoom on-premise:

  • Meeting Connector Controller до версии 4.6.348.20201217,
  • Meeting Connector MMR до версии 4.6.348.20201217,
  • Recording Connector до версии 3.8.42.20200905,
  • Virtual Room Connector до версии 4.4.6620.20201110,
  • Virtual Room Connector Load Balancer до версии 2.5.5495.20210326.
  • Ещё одна уязвимость (CVE-2021-34415 c оценкой 7,5 по шкале CVSS 3.0) могла привести к сбою системы. Ошибка была найдена Никитой Абрамовым в приложении Zoom On-Premise Meeting Connector Controller, а проблема устранена в версии 4.6.358.20210205. В результате эксплуатации этой уязвимости злоумышленники могли нарушить работоспособность ПО, тем самым создав ситуацию, когда проведение конференций с использованием Zoom не представлялось бы возможным.

    Третья уязвимость (CVE-2021-34416 с оценкой 5,5 по шкале CVSS 3.0) также позволяла выполнить атаку с помощью внедрения команд.

    «Главной опасностью компрометации этих приложений и получения доступа к командной оболочке является то, что они обрабатывают трафик со всех конференций компании. Таким образом, злоумышленник может выполнять MITM-атаку и перехватывать любые данные с конференций в режиме реального времени, — рассказал Егор Димитренко. — Так как приложения данного типа могут размещаться на периметре, это позволяет внешним нарушителям выполнить произвольный код на сервере с привилегиями пользователя root, что дает возможность дальнейшего продвижения в сети компании. Для эксплуатации уязвимости атакующему требуются учетные данные любого пользователя с административными правами, например пользователя admin, который создается в приложении по умолчанию. Но в связи с тем, что приложение не придерживается строгой парольной политики и у него отсутствует защита от подбора пароля через веб-интерфейс, то получить пароль для злоумышленника не составляет труда».

    Основными причинами появления таких уязвимостей Егор Димитренко называет отсутствие достаточной проверки пользовательских данных.

    «Часто можно встретить уязвимости такого класса в приложениях, которым делегированы задачи по администрированию сервера. Особенность данной уязвимости в том, что она всегда ведет к критическим последствиям и в большинстве случае приводит к получению полного контроля над инфраструктурой корпоративной сети», — отметил эксперт.

    Для устранения уязвимостей необходимо обновить упомянутые приложения. Обеспечить непрерывный контроль уязвимостей внутри инфраструктуры как в штатном режиме, так и в экстренных проверках поможет MaxPatrol VM — система нового поколения в области vulnerability management. В случае успешной атаки одним из способов выявить признаки проникновения является применение систем класса SIEM (например, MaxPatrol SIEM), которые позволяют выявить подозрительное поведение на сервере и своевременно остановить продвижение злоумышленников внутри корпоративной сети.

    www.ptsecurity.com

    Хроника

    Адрес редакции: 117997, Москва, Профсоюзная ул., д. 65, оф. 360
    Телефон: (926) 212-60-97.
    E-mail: info@avtprom.ru или avtprom@ipu.ru

    © ООО Издательский дом "ИнфоАвтоматизация", 2003-2021 гг.

    Rambler`s Top100 Rambler`s Top100
    Рейтинг@Mail.ru
    РассылкиSubscribe.Ru
    Автоматизация в
    промышленности