Cisco fixes severe flaws in Webex Meetings for Windows, macOS
금일 시스코가 윈도우 및 맥 OS용 Cisco Webex Meetings의 데스크톱 애플리케이션에서 발견된 심각한 취약점 2개를 패치하는 보안 업데이트를 공개했습니다.
이 취약점을 악용할 경우 권한이 없는 공격자가 취약한 기기에서 프로그램 및 코드를 실행할 수 있습니다.
Cisco Webex Meetings는 온라인 미팅 및 화상 회의 소프트웨어입니다. 이 플랫폼은 프레젠테이션, 스크린 공유, 녹화 등의 기능을 지원합니다.
이 두 취약점은 CVE-2020-3263, CVE-2020-3342로 등록되었으며 Cisco Webex Meetings 데스크톱 애플리케이션 39.5.12 이전 버전 및 맥OS 용 Cisco Webex Meetings 39.5.11 이전 락다운 버전에 존재합니다.
윈도우 시스템에서 원격으로 프로그램 실행 가능
윈도우 클라이언트에 존재하는 임의 프로그램 실행 보안 취약점은 취약한 소프트웨어 버전에 제공되는 URL 입력을 제대로 검증하지 않기 때문에 발생합니다.
CVE-2020-3263을 악용할 경우 권한이 없는 원격 공격자가 취약한 소프트웨어를 실행하는 시스템에서 임의 프로그램을 실행할 수 있습니다.
공격자는 타깃이 악성 URL을 클릭하도록 유도하여 이 취약점을 악용 가능합니다. 시스코는 권고문을 통해 아래와 같이 밝혔습니다.
“공격자가 이 취약점을 성공적으로 악용할 경우 이 애플리케이션이 최종 사용자 시스템 내 다른 프로그램을 실행할 수 있습니다. 악성 파일이 시스템 또는 접근 가능한 네트워크 파일 경로에 설치된 경우, 공격자는 취약한 시스템에서 임의 코드를 실행할 수도 있습니다.”
맥OS 시스템에서 원격 임의 코드 실행 가능
맥OS 클라이언트에서 발견된 원격 코드 실행 취약점은 취약한 맥OS 용 Cisco Webex Meetings 데스크톱 앱이 다운로드한 소프트웨어 업데이트 파일의 인증서를 제대로 검사하지 않기 때문에 발생합니다.
CVE-2020-3342 취약점을 악용할 경우 인증받지 않은 공격자가 취약한 맥OS 용 Cisco Webex Meetings 데스크톱 앱이 설치된 시스템에 로그인 한 사용자의 권한으로 임의 코드를 원격으로 실행할 수 있습니다.
“공격자가 이 취약점을 악용하기 위해서는 유효한 Webex 웹사이트에서 리턴하는 파일과 유사한 파일을 리턴하는 웹사이트에 방문하도록 사용자를 속여야 합니다. 클라이언트는 업데이트 과정의 일부로 이 파일을 실행하기 전 제공된 파일의 암호화 보호를 제대로 검증하지 못할 수 있습니다.”
대안 및 완화법
시스코가 제공한 무료 소프트웨어 업데이트 2건을 제외하고는 현재 이 두 취약점을 완화할 수 있는 대안은 없습니다.
PSIRT(Cisco's Product Security Incident Response Team)는 권고를 발행할 당시 이 취약점이 실제 공격에 악용되었다는 사례는 찾을 수 없었다고 밝혔습니다.
시스코는 Cisco Webex Meetings 데스크톱 앱 40.1.0 및 이후 버전(락다운 버전 39.5.12 및 이후 버전)에서 CVE-2020-3263 취약점을 수정했습니다.
또한 맥OS 용 Cisco Webex Meetings 데스크톱 앱 버전 39.5.11 및 이후 락다운 버전에서 CVE-2020-3342 취약점을 수정했습니다.
윈도우와 맥OS 사용자는 Cisco Webex Meetings 데스크톱 애플리케이션 지원 센터에 공지된 방법을 통해 소프트웨어를 업데이트할 수 있습니다.
관리자일 경우 Cisco Webex Meetings 데스크톱 앱 대량 배포 IT 관리자 안내서에 공지된 방법을 통해 전체 사용자의 소프트웨어를 업데이트할 수 있습니다.
출처:
해커들, 옥스퍼드 서버 탈취해 오피스 365 피싱에 사용 (0) | 2020.06.19 |
---|---|
AWS, 역대 최대 규모인 2.3 Tbps DDoS 공격 완화했다고 밝혀 (0) | 2020.06.18 |
다수의 IoT 기기 위협하는 Ripple20 취약점 (0) | 2020.06.17 |
VLC 플레이어 3.0.11에서 심각한 원격 코드 실행 취약점 패치돼 (0) | 2020.06.17 |
오라클 EBS(E-Business Suite)에서 BigDebIT 취약점 패치 (0) | 2020.06.17 |
댓글 영역