Múltiples vulnerabilidades en la plataforma Zoom

Un grupo de investigadores ha identificado un total de tres fallos críticos que afectan a la plataforma Zoom, estos fallos pueden ser abusados por un administrador (o moderador) malintencionado del portal Zoom para inyectar y ejecutar comandos arbitrarios en la máquina que aloja el software.

La vulnerabilidad CVE-2021-34414 de severidad alta con una puntuación de 7.2, se debe a que la página de proxy de red en el portal web para el controlador de Meeting Connector Controller, Meeting Connector MMR, Recording Connector, Virtual Room Connector y el Virtual Room Connector Load Balancer no validan la entrada enviada en las solicitudes para actualizar la configuración del proxy de red, lo que podría llevar a la inyección de comandos remotos en el sistema local por un administrador del portal web.

La segunda de las vulnerabilidades identificada como CVE-2021-34415 de severidad alta con una puntuación de 7.5, se debe a que el servicio Zone Controller en Meeting Connector Controller, no verifica el campo cnt enviado en los paquetes de red entrantes, lo que conduce al agotamiento de los recursos y al bloqueo del sistema. Esta vulnerabilidad se eliminó en la versión 4.6.358.20210205 del Meeting Connector Controller.

Otra vulnerabilidad identificada como CVE-2021-34416 de severidad crítica con una puntuación de 9.8, se debe a que el portal web de configuración administrativa de la dirección de red para Meeting Connector, Meeting Connector MMR, Recording Connector, Virtual Room Connector y Virtual Room Connector Load Balancer falla al validar la entrada enviada en las solicitudes para actualizar la configuración de red, lo que podría conducir a una inyección de comandos remotos en el sistema local por parte de los administradores del portal web.

Se debe tener en cuenta que todas estas vulnerabilidades se pueden explotar si un atacante logra obtener las credenciales de inicio de sesión de un usuario con derechos administrativos.

La explotación exitosa de las vulnerabilidades podría permitir a un atacante bloquear o secuestrar instancias locales del sistema de videoconferencia.

Desde el CERT-PY recomendamos actualizar a la última versión disponible de las aplicaciones afectadas.

Información adicional:

Compartir: