只需一条信息即可远程利用严重的思科 Jabber RCE缺陷

 聚焦源代码安全，网罗国内外最新资讯！

作者：Lindsey O'Donnell

编译：奇安信代码卫士团队

研究人员警告称，思科 Jabber 的 Windows 版中存在一个严重的远程代码执行 (RCE) 缺陷 (CVE-2020-3495)。

Jabber 是视频会议和即时通讯应用。攻击者仅发送特殊构造的信息，无需用户交互，即可攻击目标。

思科在本周三发布安全公告指出，该漏洞的 CVSS 评分为9.9。发现该缺陷的研究人员来自 Watchcom 公司，他表示随着疫情的爆发，远程工作的员工激增，导致该漏洞尤其严重。他指出，很多敏感信息是通过视频电话或即时信息共享的，而大多数员工在使用这些应用程序，其中对其它 IT 系统具有特权访问权限的员工也不例外。

攻击者可通过向易受攻击的运行思科 Jabber Windows 版本的终端用户系统发送特殊构造的 ExtensibleMessaging and Presence Protocol (XMPP) 信息，利用该缺陷。XMPP 是基于 XML 的协议即时消息协议，它基于开放标准，广泛应用于开源和专有软件。

研究人员表示，虽然攻击者能够远程发动攻击，但需要访问同样的 XXPP 域名或通过另一种访问方法向客户端发送信息。然而，该攻击基本上易于执行：攻击目标无需用户交互，而即使思科 Jabber 在后台运行，该漏洞也可遭利用。

该问题产生的原因在于思科 Jabber 不正确地验证信息内容；该应用程序未正确地清理接收到的 HTML 信息，而是通过一个有缺陷的 XSS 过滤器传递该信息。研究人员发现可使用名为“onanimationstart”属性绕过该过滤器。该数据用于指定一个 JavaScript 函数，当一个元素的 CSS 动画开始播放时，该函数就会被调用。

研究人员发现可使用该属性创建过滤器无法捕获的恶意 HTML 标记，且它最终会被执行。最后，研究人员使用这些 HTML 标记创建一条恶意信息，拦截由该应用程序发送的 XMPP 信息并修改。攻击者可以手动在自己机器上完成，也可以自动创建自动传播的蠕虫。攻击者利用该漏洞后，能够使“该应用程序运行已存在于应用程序本地文件路径中的任意可执行文件。该可执行文件能够以初始化思科 Jabber 客户应用程序的用户的权限，在终端用户系统上运行。”

思科发布安全公告指出，使用仅电话模式下的思科 Jabber用户（未启用 XMPP 消息服务）并不易受利用影响。另外，但思科 Jabber 配置为使用消息服务而非 XMPP 消息时，该漏洞无法遭利用。

漏洞影响所有受支持的思科 Jabber 客户端版本 (12.1 ~ 12.9)。思科已为所有受影响的 Jabber 版本发布更新。

研究人员表示还从思科 Jabber 中发现了其它三个漏洞，包括协议句柄命令感染漏洞 (CVE-2020-3430)、一个信息泄露缺陷 (CVE-2020-3498) 和一个Universal NamingConvention 链接处理缺陷 (CVE-2020-3537)。

思科表示尚未有证据表明该漏洞已遭利用。

推荐阅读

思科警告：这个 IOS XR 0day 已遭利用，目前尚无补丁

思科修复 ASA/FTD 防火墙高危缺陷，已遭利用

原文链接

https://www.zdnet.com/article/backdoors-left-unpatched-in-mofi-routers/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错，就点个 “在看” 吧~