摘要:研究员称,思科的WebEx在线视频会议软件受到一个严重漏洞的影响,该漏洞可以被利用来提供权限并执行任意命令。
两名安全研究人员于近日发布消息称,思科的WebEx在线视频会议软件受到一个严重漏洞的影响,该漏洞可以被利用来提供权限并执行任意命令。
这个安全漏洞由来自CounterHack的RonBowes和JeffMcJunkin发现,并被命名为“WebExec”。为了让公众能够更加清楚地了解该漏洞,两名安全研究人员还为它专门建立了一个网站(webexec.org)。
该漏洞被追踪为CVE--,在今年8月初通报给了思科,修复补丁在两个月内发布。思科与两名安全研究人员协商了漏洞的披露时间,并且没有证据表明它已经被用于恶意目的。
从webexec.org所展示的信息来看,WebExec是一个存在于思科WebEx客户端软件中的一个漏洞。在安装WebEx客户端时,一个名为“WebExService”的Windows服务也同时会被安装,而该服务能够以SYSTEM账户权限执行任意命令。由于不恰当的访问控制列表(AccessControlList,ACL),任何本地或域用户都可以通过窗口的远程服务接口启动进程(Windows10除外,它需要管理员登录)。
受该漏洞影响的WebEx软件包括CiscoWebexMeetingsDesktopApp33.5.6之前的所有版本,以及CiscoWebexProductivityTools32.6.0到33.0.5之间的所有版本。目前,该漏洞已经在CiscoWebexMeetingsDesktopApp33.5.6和33.6.0,以及CiscoWebexProductivityTools33.0.5及更高版本中得到修复。额外需要提一下的是,自CiscoWebexMeetings33.2.0发布以来,CiscoWebexProductivityTools已经被CiscoWebexMeetingsDesktopApp所取代。
在webexec.org上,RonBowes和JeffMcJunkin还提供了基于Nmap(Linux下的网络扫描和嗅探工具包)和Metasploit(一款开源的安全漏洞检测工具)的概念验证(PoC)代码,可用于利用该漏洞。另外,他们也提供了一个漏洞检查工具(一个Nmap脚本),可供我们检查自己的系统是否受该漏洞影响。
文章来源:黑客视界
预览时标签不可点收录于合集#个转载请注明:http://www.0431gb208.com/sjszyzl/1223.html
