포스팅 내용

국내외 보안동향

Cisco, 윈도우용 Jabber의 치명적인 코드 실행 취약점 수정

Cisco fixes critical code execution bug in Jabber for Windows


Cisco가 윈도우용 Cisco Jabber 소프트웨어 버전 다수에 존재하는 심각한 원격코드 실행 취약점을 패치했습니다.

 

윈도우용 Cisco Jabber는 데스크톱 협업 프로그램으로 현재 상태 확인, 인스턴트 메시징(IM), 클라우드 메시징, 데스크톱 공유, 오디오/영상/웹 컨퍼런스 등의 기능을 제공합니다.

 

이 취약점은 WatchcomOlav Sortland Thoresen이 발견하여 신고했습니다. Cisco의 제품 보안 사고 대응 팀(PSIRT)은 현재 실제 공격에서 이 취약점이 악용되지는 않고 있다고 밝혔습니다.

 

CVE-2020-3495로 등록된 이 보안 취약점은 CVSS 최대 점수인 9.9점을 기록했으며 수신하는 메시지 내용을 적절히 검증하지 않았기 때문에 발생합니다.

 

악성 XMPP 메시지를 통한 악용

 

인증되지 않은 원격 공격자가 악의적으로 제작된 XMPP(Extensible Messaging and Presence Protocol)메시지를 통해 CVE-2020-3495 취약점을 성공적으로 악용할 경우, 패치되지 않은 윈도우용 Jabber 소프트웨어를 사용하는 시스템에서 임의 코드를 실행할 수 있습니다.

 

이 과정에서 아무런 사용자 조작도 필요하지 않습니다. 또한 윈도우용 Jabber 클라이언트가 백그라운드에서 동작하고 있을 때도 CVE-2020-3495 취약점을 악용 가능합니다.

 

공격자가 취약점을 성공적으로 악용할 경우, 해당 애플리케이션은 타깃 시스템에서 Cisco Jabber 클라이언트 소프트웨어가 실행 중인 사용자 계정의 권한을 통해 임의 프로그램을 실행할 수 있습니다.”

 

공격자가 이 취약점을 성공적으로 악용하는데 필요한 악성 XMPP 메시지를 보내기 위해서는 피해자의 XMPP 도메인에 대한 접근 권한이 필요합니다.

 

악용이 성공할 경우 공격자는 해당 애플리케이션을 통해 애플리케이션 로컬 파일 경로 내 존재하는 임의 실행 파일을 실행할 수 있습니다.”

 

실행 파일은 최종 사용자의 시스템에서 Cisco Jabber 클라이언트 애플리케이션을 실행하는 사용자의 권한으로 실행될 것입니다.”

 

Cisco Jabber 취약점에 대한 데모 영상은 여기에서 확인하실 수 있습니다.

 

공격자는 악용 프로세스를 자동화하여 다른 기기에 자동으로 확산되는 웜을 생산하는 것 또한 가능한 것으로 나타났습니다.

 

“Cisco Jabber는 파일 전송을 지원하기 때문에, 공격자는 XSS 공격을 통해 악성 .exe 파일이 포함된 파일을 전송하여 피해자가 이를 수락하도록 강제할 수 있습니다.”

 

이후 타깃 피해자의 기기에서 해당 악성 파일을 실행할 수 있습니다.

 

취약한 윈도우용 Jabber 버전

 

윈도우용 Jabber 소프트웨어가 전화 전용 모드로 구성되었거나 다른 메시징 서비스를 사용하고 있는 시스템은 이 취약점의 영향을 받지 않습니다.

 

또한 macOS 및 모바일 플랫폼에서 사용하는 Cisco Jabber에 영향을 미치지 않습니다. 현재 지원되는 모든 윈도우용 Cisco Jabber 클라이언트 버전 (12.1 ~ 12.9)이 취약한 상태이며 아래 표에서 확인하실 수 있습니다.



윈도우용 Cisco Jabber 릴리즈

수정된 릴리즈 버전

12.1

12.1.3

12.5

12.5.2

12.6

12.6.3

12.7

12.7.2

12.8

12.8.3

12.9

12.9.1



  


 

 

출처:

https://www.bleepingcomputer.com/news/security/cisco-fixes-critical-code-execution-bug-in-jabber-for-windows/

https://watchcom.no/nyheter/nyhetsarkiv/uncovers-cisco-jabber-vulnerabilities/


티스토리 방명록 작성
name password homepage