Cisco ha emitido un parche crítico para corregir una vulnerabilidad grave (CVE-2018-0112) en su software WebEx que podría ser explotada por atacantes remotos para ejecutar código arbitrario en máquinas objetivo mediante archivos Flash armados, los expertos en seguridad informática dijeron que debe instalar el parche tan pronto como sea posible.
La vulnerabilidad afecta tanto a las versiones de cliente y servidor de WebEx Business Suite o WebEx Meetings. Cisco insta a sus usuarios a actualizar su software para solucionar el problema.
“Una vulnerabilidad en los clientes de Cisco WebEx Business Suite, Cisco WebEx Meetings y Cisco WebEx Meetings Server podría permitir que un atacante autenticado y remoto ejecutara código arbitrario en un sistema específico”, dice el aviso de seguridad publicado por Cisco.
“La vulnerabilidad se debe a una validación de entrada insuficiente por parte de los clientes de Cisco WebEx. Un atacante podría aprovechar esta vulnerabilidad al proporcionar a los asistentes a la reunión un archivo Flash malicioso (.swf) a través de las capacidades de intercambio de archivos del cliente. La explotación de esta vulnerabilidad podría permitir la ejecución de código arbitrario en el sistema de un usuario específico”.
De acuerdo con los expertos en seguridad informática, la falla ha recibido un puntaje CVSS de 9.0 y fue calificado como un problema de gravedad ‘crítico’ por parte de Cisco.
La vulnerabilidad fue informada por el experto en seguridad informática de ENISA Alexandros Zacharis de ENISA, debido a la validación insuficiente de los datos de entrada por parte de los clientes de Cisco WebEx.
Zacharis descubre que un atacante podría enviar un archivo Flash malicioso (.swf) a una sala llena de asistentes mediante la función de uso compartido de archivos, y luego activar la falla para ejecutar código arbitrario.
Cisco ya ha lanzado actualizaciones de software que corrigen la falla, confirmó que no tiene conocimiento de ningún ataque que explote la vulnerabilidad en la naturaleza.
Cisco agregó que actualmente no hay una solución para resolver el problema.
El software WebEx Business Suite debe actualizarse a las versiones T32.10 y T31.23.2, mientras que el software cliente WebEx Meetings debe actualizarse a T32.10 y Meetings Server debe actualizarse a 2.8 MR2.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad