كشفت Cisco Systems التي أصدرتها هذا الأسبوع عن عشرات الثغرات الأمنية في البرامج ، بما في ذلك أربعة عيوب شديدة الخطورة ، لم يتم تصحيح أحدها.

الخلل الذي لا يوجد إصلاح حاليًا هو CVE-2020-3155: خطأ في التحقق من صحة تطبيق SSL لـ Cisco Intelligent Proximity ، وهو حل يساعد أجهزة الكمبيوتر المحمولة والهواتف الذكية والأجهزة الأخرى على اكتشاف أجهزة فيديو Webex ونقاط نهاية التعاون والربط بها تلقائيًا. إذا تم استغلال الثغرة الأمنية ، فقد تمكن المهاجمين عن بُعد من عرض أو تعديل المعلومات المشتركة على أجهزة ونقاط نهاية Webex هذه.

تقول Cisco في الاستشارات الأمنية. "اعتمادًا على تكوين نقطة النهاية ، يمكن أن تسمح الثغرة للمهاجم بعرض محتوى العرض التقديمي الذي تمت مشاركته عليه ، أو تعديل أي محتوى يقدمه الضحية ، أو الوصول إلى عناصر التحكم في الاتصال."

يمكن أن يتأثر مستخدمو تطبيق التقارب الذكي من Cisco و Jabber و Webex Meetings و Webex Teams تطبيق Cisco للاجتماعات جميعًا بالثغرة الأمنية إذا تم تكوين المنتجات باستخدام ميزة القرب واستخدامها للاتصال بالأجهزة المحلية أو نقاط نهاية التعاون باستخدام ميزة القرب ممكن أيضا.

لا توجد حلول بديلة ولكن Cisco تسرد عوامل التخفيف في استشاريها. وهي تشمل تعطيل ميزة الاقتران التقريبي على الأجهزة ونقاط النهاية ، وتعطيل الاكتشاف التلقائي لنقاط نهاية التعاون على عملاء Proximity ، وترحيل حل التعاون إلى السحابة.

يتكون الخطأان اللذان حاصلا على أعلى درجة في CVSS - المعين CVE-2020-3127 و CVE-2020-3128 - من سلسلة من الثغرات الأمنية التي يمكن أن تسمح للمهاجمين بالحصول على امتيازات المستخدم المستهدف ثم تنفيذ تعليمات برمجية عشوائية عبر Cisco Webex Network Recording Player لنظام التشغيل Microsoft Windows أو Cisco Webex Player لنظام التشغيل Microsoft Windows.

وفقا لشركة سيسكو الاستشارات الأمنية، فإن الثغرات الأمنية ناتجة عن "عدم كفاية التحقق من صحة بعض العناصر داخل تسجيل Webex المخزن إما في تنسيق التسجيل المتقدم (ARF) أو تنسيق تسجيل Webex (WRF)." لاستغلال هذه العيوب ، يمكن للخصم أن يرسل للمستخدمين ملف ARF أو WRF خبيثًا عبر رابط أو مرفق بالبريد الإلكتروني ويهندس اجتماعيًا الضحية المحتملة لفتح الملف على النظام المحلي.

تم إصلاح كلا الخطأين في Webex Meetings 39.5.17 و 40.0 و Webex Meetings Online 1.3.49 و Webex Meetings Server 3.0MR3SecurityPatch1 و 4.0MR2SecurityPatch2.

تم تحديد الخطأ عالي المستوى المتبقي على أنه ثغرة أمنية في الواجهة المستندة إلى الويب لـ Cisco Prime Network Registrar (CPNR). يمكن لمهاجم عن بُعد غير مصدق عليه استغلال هذه المشكلة لتنفيذ هجوم تزييف لطلب عبر المواقع (CSRF) عن طريق خداع المستخدم للنقر فوق ارتباط ضار أثناء وجوده في جلسة إدارية نشطة.

"قد تسمح الاستغلال الناجح للمهاجم بتغيير تكوين الجهاز ، والذي قد يتضمن القدرة على تحرير أو إنشاء حسابات مستخدمين من أي مستوى امتياز ،" تحذر Cisco في الاستشارات الأمنية. "قد تؤثر بعض التغييرات على تكوين الجهاز سلبًا على توفر خدمات الشبكات للأجهزة الأخرى على الشبكات التي تديرها CPNR."

تم إعفاء CPNR من هذه المشكلة بإصدار الإصدار 10.1.

تم العثور على ثغرات أمنية متوسطة المستوى في Webex Meetings Client لنظام التشغيل MacOS ؛ مجموعة إدارة TelePresence ؛ برنامج جهاز PHY البعيد ؛ توفير التعاون الأساسي ؛ محرك خدمات الهوية. برنامج IOS XR ؛ و Cisco AsyncOS لأجهزة Cisco Email Security Appliance (ESA) و Cisco Web Security Appliance (WSA) و Cisco Content Security Management Appliance (SMA). أيضًا ، أقرت Cisco بأن بعض منتجاتها اللاسلكية تتأثر بثغرة شرائح Wi-Fi المكتشفة مؤخرًا والمعروفة باسم Krook.