Hackers iranianos alegam ter derrubado energia em Israel
Ransomware atinge empresa de logística no Brasil
USP, UFRJ e UFMG sob ataque de negação de serviço
Pane de rede retardou produção na Volkswagen
Site da Prefeitura de Suzano (SP) está fora do ar
DDoS atinge subdomínio da NASA

Assine nossa newsletter Premium e ganhe acesso ao grupo de WhatsApp In_Cyber.
Conheça também a versão Básica

Falha crítica no WebEx. Confirme já no Nmap

Share on linkedin
Share on twitter
Share on facebook

Os pesquisadores Ron Bowes e Jeff McJunkin, da organização Counter Hack, descobriram uma falha bem grave na plataforma WebEx, da Cisco,  uma das plataformas de comunicação multimídia mais utilizadas no mundo pelas empresas.

A falha foi chamada de WebExec, e é uma vulnerabilidade bastante exclusiva. Isso porque é uma vulnerabilidade remota, em um aplicativo cliente que nem sequer escuta em uma porta.

Ela acontece assim: quando o cliente WebEx é instalado, ele instala também um serviço do Windows chamado WebExService que pode executar comandos privilegiados à vontade (arbitrários) no nível do sistema. Devido a ACLs (access control lists) deficientes, qualquer usuário local ou de domínio pode iniciar o processo pela interface de serviço remoto do Windows (exceto no Windows 10, que exige um login de administrador).

A vulnerabilidade foi descoberta em  de Julho deste ano mas só em 6 de Agosto ficou comprovado que ela era explorável remotamente. No mesmo dia o fato foi informado ao PSIRT (product security incident response team) da Cisco. O conserto do Webex Meetings Desktop saiu nas versões 33.5.6 e 33.6.0.

Os detalhes técnicos estão disponíveis no blog do Ron e no comunicado da Cisco.

Quem quiser checar a vulnerabilidade com o Nmap pode usar este script:

nmap –script smb-vuln-webexec –script-args ‘smbusername=testuser,smbpass=testuser,vulns.showall’ -p139,445 -d <target>

Se o WebEx estiver vulnerável a resposta do Nmap será assim:

PORT    STATE SERVICE      REASON
  445/tcp open  microsoft-ds syn-ack
  | smb-vuln-webexec: 
  |   VULNERABLE:
  |   Remote Code Execution vulnerability in WebExService
  |     State: VULNERABLE
  |     IDs:  CVE:CVE-2018-15442
  |     Risk factor: HIGH
  |       A critical remote code execution vulnerability exists in WebExService (WebExec).
  |     Disclosure date: 2018-10-24
  |     References:
  |       https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-15442
  |       https://blog.skullsecurity.org/2018/technical-rundown-of-webexec
  |_      https://webexec.org