云视频会议提供商Zoom发布了针对其产品中多个漏洞的补丁,这些漏洞可能让犯罪分子窃取会议数据并攻击客户基础设施。
这些修补过的漏洞可能会让攻击者以最高权限获得服务器访问权,并在该公司的网络上进一步导航,还可能危及Zoom软件的功能——使受害者无法举行会议。
1、严重漏洞
在上周的安全公告中,Zoom为其产品发布了多个补丁。
CVE-2021-34417
最严重的CVSS评分为7.9分,是Web门户上的网络代理页面,例如 Zoom On-Premise Meeting Connector Controller、Zoom On-Premise Meeting Connector MMR、Zoom On-Premise Recording Connector、 Zoom On-Premise Virtual Room Connector 和 Zoom On-Premise Virtual Room Connector Load Balancer。
被跟踪为CVE-2021-34417的漏洞无法验证设置网络代理密码请求发送的输入,这可能导致web门户管理员进行远程命令注入。
CVE-2021-34422
第二个被跟踪的漏洞CVE-2021-34422评分很高,CVSS评分为7.2,并且影响Keybase Client for Windows,该Windows在检查上传到团队文件夹的文件名称时包含路径遍历漏洞。
“恶意用户可以使用特制的文件名将文件上传到共享文件夹,这可能允许用户执行不打算在其主机上使用的应用程序。
如果恶意用户利用Keybase客户端的公用文件夹共享特性利用这个问题,就可能导致远程执行代码。”Zoom表示。
2、评级较低的漏洞
CVE-2021-34420
发布的另一个重要补丁是针对Zoom Windows安装可执行签名绕过,它被评为中等,CVSS得分为4.7。
跟踪为CVE-2021-34420的漏洞影响版本5.5.4之前的所有Zoom Client for Meetings for Windows。
Zoom指出,“Zoom Client for Meetings for Windows 安装程序不会验证扩展名为 .msi、.ps1 和 .bat 的文件的签名,这可能会导致威胁行为者在受害者的计算机上安装恶意软件。”
CVE-2021-34418
Zoom发布的另一个补丁解决了本地Web控制台中的Pre-auth 空指针崩溃漏洞,该漏洞被跟踪为CVE-2021-34418,CVSS评分为4.0,评级为中等。
CVE-2021-34419
“Zoom On-Premise Meeting Connector Controller、Zoom On-Premise Meeting Connector MMR、Zoom On-Premise Recording Connector、Zoom On-Premise Virtual Room Connector 和 Zoom On-Premise Virtual Room Connector Load 产品的 Web 控制台登录服务Balancer 在进行身份验证时无法验证是否发送了 NULL 字节,这可能导致登录服务崩溃,”Zoom 指出。
该漏洞被跟踪为CVE-2021-34419,CVSS 评分为3.7,影响 Ubuntu Linux 5.1.0之前的 Zoom Client for Meetings。
“在会议中的屏幕共享过程中向用户发送远程控制请求时,存在HTML注入缺陷,这可能使会议参与者成为社会工程攻击的目标,”Zoom 指出。
CVE-2021-34421
CVE-2021-34421是评分最低的漏洞之一,CVSS评分为3.7,影响Android和iOS的Keybase客户端。该漏洞适用于5.8.0之前的Android系统和5.8.0之前的iOS系统。
Android和iOS的Keybase客户端无法删除用户发起的爆炸消息,如果接收用户将聊天会话置于后台而发送用户爆炸消息,这可能导致泄露本应从其中删除的敏感信息。
其他发现
Positive Technologies表示,他们已经在Zoom本地会议、谈判和录音解决方案Zoom Meeting Connector Controller、Zoom Virtual Room Connector、Zoom Recording Connector 等中发现几个关键漏洞(现已修补)。
研究人员Egor Dimitrenko表示,这些漏洞使得攻击者可以输入命令来执行攻击,从而以最大权限获得服务器访问权。
CVE-2021-34414
研究人员指出:“在本地模型下分布的软件的用户通常是大公司,它们在自己的网络中部署这些解决方案,以防止数据泄露。”“由于CVE-2021-34414漏洞(CVSS评分为7.2),很可能发生恶意注入。Zoom内部应用程序中报告了该问题,如会议连接器控制器(最高版本4.6)、会议连接器MMR(最高版本4.6)、录音连接器(最高版本3.8)、虚拟房间连接器(最高版本4.4)和虚拟房间连接器负载均衡器(最高版本2.5)。”
CVE-2021-34415
Positive Technologies 研究人员发现的另一个漏洞是CVE-2021-34415,其CVSS 3.0得分为7.5,这可能导致系统崩溃。该问题在4.6版中得到纠正。
一旦利用这个漏洞,攻击者可能会破坏软件的功能,使受影响的组织无法举行Zoom会议。出现此类漏洞的主要原因是缺乏对用户数据的充分验证。
在委托给服务器管理任务的应用程序中,经常会遇到此类漏洞。这种漏洞会导致严重的后果,在大多数情况下,它会导致入侵者获得对公司网络基础设施的完全控制。随着漏洞利用攻击的增加,在软件开发期间利用静态代码检测工具可以帮助开发人员及时查找漏洞并修复,增强软件自身安全性,降低别攻击的风险。
参读链接: