Cisco Webex es una herramienta de video para el trabajo colaborativo que ofrece soluciones de software basadas en la nube, las cuales se encargan de brindar una experiencia de colaboración segura y confiable, permitiendo asistir u organizar reuniones.
Para información sobre Cisco Webex, puede visitar el enlace: https://www.webex.com/es/video-conferencing.html
¿Qué pasó?
Recientemente se ha descubierto una vulnerabilidad dentro de la función Multimedia Viewer de Cisco Webex Meetings server en su versión T39.3, la misma ha sido identificada y catalogada como CVE-2020-3126 de riesgo bajo.
El fallo está presente en la función de multimedia viewer y es debido a la falta de cuadros de diálogo de advertencia de seguridad cuando el anfitrión de una reunión ve los archivos multimedia compartidos. Para la explotación exitosa de la vulnerabilidad un atacante remoto debería estar autenticado, utilizar el rol de host, compartir archivos maliciosos dentro de la función multimedia viewer y convencer a un participante que se encuentre en la reunión que vea el archivo malicioso, con lo que lograría omitir las protecciones de seguridad y realizar otro tipos de ataques o incluir un archivo malicioso en la ventana del navegador.
Recomendaciones:
- Actualizar Cisco Webex Meetings server a la última versión disponible, en este caso la 4.0.
- Además es recomendable la utilización de las siguientes versiones del navegador, las mismas cuentan con soporte para la versión 4.0 de Cisco Webex Meetings Server:
- Microsoft Windows: Chrome Versión 79 y 80, Firefox Versión 71,72,73 y 74.
- MacOS: Chrome Version 79 y 80 , Firefox Version 71,72,73 y 74.
- En caso de no ser posible la actualización, como medida alternativa desactive la función de Multimedia Sharing, para ello:
- Inicie sesión en Webex Site Administration, luego diríjase a Configuration > Common Site Settings > Options,
- En el apartado de Options, desmarque la opción Allow Multimedia Sharing.
Referencias:
- https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvs24436/?rfs=qvred
- https://www.cisco.com/c/en/us/td/docs/collaboration/CWMS/4_0/Release_Notes/cwms_b_release-notes-cwms-4-0.html#reference_939E9A1110957859ACAA85F3A90A7FA7
- https://www.tenable.com/cve/CVE-2020-3126
- https://nvd.nist.gov/vuln/detail/CVE-2020-3126#vulnCurrentDescriptionTitle
- https://vuldb.com/?id.153075