Recientemente Cisco emitió una alerta de seguridad para todas las compañías utilizando Zoom Connector, mencionando que este conductor podría ser utilizado de forma maliciosa. Acorde a especialistas en análisis de vulnerabilidades, este potencial uso malicioso consiste en el acceso no autorizado a dispositivos Cisco a través de Zoom Connector.
Al parecer, este conector permite a cualquier usuario en Internet que cuente con una URL específica de Zoom obtener acceso a la interfaz del navegador en los endpoints de Cisco sin necesidad de usar autenticación en la nube de Zoom o en el endpoint dentro del firewall de la compañía objetivo. En caso de tener éxito, el usuario no autorizado podría tomar control del endpoint, tener acceso a los registros de audio y video de las sesiones y realizar llamadas.
Los endpoints Cisco, Poly y Lifesize tienen interfaces web para la administración y el control de los dispositivos de video basados en el navegador. Zoom descubrió una forma de utilizar la interfaz del navegador en estos endpoints para permitir que one touch meeting se una al servicio Zoom y al control remoto desde la nube del servicio Zoom, mencionan los expertos en análisis de vulnerabilidades.
Aunque esto fue implementado sin fines maliciosos, al construir los conectores Zoom demostró severas fallas de diseño y escaso cumplimiento con los protocolos de seguridad empresarial de sus usuarios.
Estos conectores de zoom tienen dos componentes:
- Una interfaz web de fondo que se ejecuta en la nube Zoom
- Un servidor de Windows implementado dentro del firewall de la compañía
Para implementar uno de estos conectores, el administrador inicia sesión en la cuenta de Zoom de la organización en la nube y proporciona información a un applet de Zoom para saber cómo conectarse a la red del cliente. Según esta información, Zoom crea una clave o ID única. Luego, el administrador instala la aplicación Zoom Connector en un servidor de Windows dentro del firewall. Durante la instalación, el administrador ingresa la clave única de Zoom junto con el nombre de usuario y la contraseña para cualquier endpoint de video que la organización quiera habilitar para unirse con el servicio Zoom.
Como resultado del proceso de instalación se crea una URL única específica para cada endpoint que apunta a la nube Zoom. Cualquier navegador que apunte a esta URL www.zoom.us se conecta a la página del navegador del endpoint de video a través del Zoom Connector como si estuviera conectado directamente a la interfaz del navegador desde el interior de la organización. En resumen, el conector de Zoom crea una especie de túnel entre la interfaz del navegador del endpoint de video y la nube de Zoom.
La URL alojada por Zoom no tenía controles de autenticación. No fue necesaria la autenticación para iniciar sesión en la nube de Zoom, y debido a que Zoom Connector tenía credenciales de inicio de sesión automático para el endpoint de video dentro del firewall, no se requerían credenciales para iniciar sesión en la interfaz del navegador del endpoint, mencionan los expertos en análisis de vulnerabilidades.
Esta URL no asegurada se puede encontrar en el historial de cualquier navegador que haya utilizado la URL. Por lo tanto, cualquier persona que conozca la URL podría controlar el endpoint de video desde cualquier navegador en cualquier lugar de Internet sin credenciales de inicio de sesión.
Este es un problema grave, pues podrían ser habilitados muchos controles de endpoint a través de la interfaz del navegador, sin embargo, empleando esta URL de Zoom Connector, cualquier usuario no autorizado podría controlar el endpoint de video. Acorde a los especialistas en análisis de vulnerabilidades del Instituto Internacional de Seguridad Cibernética (IICS) un actor malicioso podría hacer que un monitor parezca apagado cuando en realidad estás registrando cualquier sesión, iniciar sesiones e incluso invocar otras configuraciones.
Cisco notificó a Zoom que había verificado la vulnerabilidad y emitió algunas recomendaciones para su solución.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad