Por cuarta vez en los últimos dos meses, Cisco ha lanzado parches de seguridad para corregir dos vulnerabilidades críticas detectadas en la plataforma de videoconferencia Webex. De ser explotadas, estas fallas podrían permitir a los actores de amenazas ejecutar código arbitrario en el sistema objetivo. La falla reside en dos reproductores multimedia asociados a Webex:
- Cisco Webex Network Recording Player
- Cisco Webex Player
El primero de los reproductores afectados se usa para reproducir archivos Advanced Recording Format (ARF) en los sistemas operativos Windows; estos archivos contienen datos registrados durante una sesión de Webex, como lista de asistentes y clips de video. Por otra parte, Webex Player reproduce archivos Webex Recording Format (WRF), que contienen muestras de audio y video.
Las vulnerabilidades, identificadas como CVE-2020-3127 y CVE-2020-3128, recibieron un puntaje de 7.8/10 en la escala del Common Vulnerability Scoring System (CVSS), por lo que se les considera de alta gravedad. Acorde a la alerta de ciberseguridad de Cisco, las fallas existen debido a una validación deficiente de algunos elementos en las grabaciones de los formatos mencionados. La compañía no añadió mayores detalles sobre las fallas.
Aunque la firma omitió mencionar detalles técnicos, sí se revelaron algunos otros datos sobre las vulnerabilidades, como las posibles consecuencias de su explotación. En su alerta, Cisco menciona que un actor de amenazas podría explotarlas mediante el envío de un archivo ARF o WRF malicioso, empleando correos electrónicos con archivos adjuntos. La ejecución exitosa de alguna de estas dos fallas permitiría la ejecución de código arbitrario en el sistema objetivo con privilegios de administrador.
Hasta el momento no se sabe de algún caso de explotación de la vulnerabilidad en escenarios reales, aunque la compañía afirma que es prioritario que los administradores de implementaciones expuestas actualicen lo antes posible para mitigar el riesgo de explotación. A continuación se muestra la lista de implementaciones vulnerables con su respectiva versión actualizada:
Las principales vulnerabilidades corregidas por Cisco en lo que va de 2020 han sido encontradas en Webex. El primer parche de seguridad del año lanzado por Cisco atendió una severa falla en la plataforma de videoconferencia que podría haber permitido que cualquier usuario pudiera unirse a una sesión sin autenticarse. Otra severa falla de ejecución remota de código en Webex también fue corregida hace un par de semanas.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.