اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

آسیب‌پذیری حیاتی اجرای کد دلخواه در Cisco Jabber نسخه ویندوز و نحوه رفع این آسیب‌پذیری

آسیب‌پذیری

یک آسیب‌پذیری حیاتی در Cisco Jabber نسخه ویندوز ممکن است به یک مهاجم احراز هویت شده، از راه دور  اجازه اجرای یک کد دلخواه را بدهد.

این آسیب‌پذیری بخاطر تایید نادرست محتوای پیام اتفاق می‌افتد. یک مهاجم می‌تواند با ارسال Extensible Messaging دست‌کاری شده و Presence Protocol (XMPP) از این آسیب‌پذیری سواستفاده کرده و نرم‌افزار را تحت تاثیر قرار دهد. سواستفاده موفق این امکان را به مهاجم می‌دهد تا باعث شود نرم‌افزار برنامه‌های دلخواه را در سیستم هدف با امتیازات حساب کاربری نرم‌افزار Cisco Jabber اجرا کند که احتمالا منجر به اجرای کد دلخواه خواهد شد.

شرکت Cisco نسخه‌های بروزرسانی شده‌ای را منتشر کرده که به این آسیب‌پذیری رسیدگی می‌کند. هیچگونه راه‌حل جایگزین برای رفع این مشکل نیست.

 محصولات آسیب‌پذیر

این آسیب‌پذیری Cisco Jabber نسخه Windows را تحت تاثیرقرار می‌دهد اگر در حالا جرای نسخه آسیب‌پذیر نرم‌افزار باشد. برای اطلاع از آینکه کدام نسخه‌ از نرم‌افزارهای Cisco آسیب‌پذیر هستند، بخش نسخه نرم‌افزاری اصلاح شده در این مطلب را نگاه کنید.

محصولاتی که عدم آسیب‌پذیری آنها تایید شده

تنها محصولات لیست‌شده در بخش محصولات آسیب‌پذیر این مطلب به عنوان محصولات تحت تاثیر این آسیب‌پذیری شناخته می‌شوند.

این آسیب‌پذیری، Cisco Jabber نسخه MacOS یا پلتفرم‌های سیار را تحت تاثیر قرار نمی‌دهد.

جزئیات آسیب‌پذیری

به منظور سواستفاده از این آسیب‌پذیری، یک مهاجم باید بتواند پیام‌های XMPP را به سیستم‌های End-User که Cisco Jabber را برای Windows اجرا می‌کنند ارسال کند. مهاجمان ممکن است به دسترسی به دامین XMPP یکسان یا روش‌های دیگر دسترسی نیاز داشته باشند تا بتوانند به سرویس گیرندگان پیامی ارسال کنند.

در نتیجه سواستفاده، یک مهاجم ممکن است باعث شود تا برنامه کاربردی یک کد دلخواه اجراشدنی را اجرا کند که از پیش درون مسیر فایل Local برنامه کاربردی قرار دارد. این کد در سیستم End-User با امتیازات کاربری که استفاده از Cisco Jabber را آغاز کرده اجرایی می‌شود.

سیستم‌هایی که تنها در حالت Phone و بدون سرویس‌های فعال XMPP از Cisco Jabber استفاده می‌کنند در برابر این سواستفاده آسیب‌پذیر نیستند. به علاوه، زمانی که Cisco Jabber پیکربندی شود تا بجای پیام‌های XMPP از خدمات پیام‌رسان استفاده کند، این آسیب‌پذیری قابل سواستفاده نیست.

برای مشاوره رایگان جهت (باز)طراحی امنیت شبکه و یا خرید لایسنس محصولات امنیت سیسکو با کارشناسان شرکت APK تماس بگیرید.

راه حل جایگزین

هیچ راه ‌حل جایگزینی برای رسیدگی به این آسیب‌پذیری وجود ندارد

نسخه نرم‌افزاری اصلاح شده

شرکت Cisco پنج نسخه بروزرسانی شده را منتشر کرده که به آسیب‌پذیری اشاره شده در این مطلب رسیدگی کرده است. مشتریان احتمالا تنها نرم‌افزار را نصب می‌کنند و انتظار پشتیبانی برای نسخه‌های نرم‌افزاری و تنظیماتی را دارند که برای آن‌ها این محصول را خریداری کرده‌اند. با نصب، دانلود، دسترسی یا در غیر این صورت استفاده از بروزرسانی‌های نرم‌افزاری، مشتریان بر پیروی از موارد License نرم‌افزاری Cisco موافقت کرده‌اند.

به علاوه، مشتریان ممکن است تنها نرم‌افزارهایی را دانلود کنند که برای آنها License معتبری دارند و مستقیما از سوی Cisco تولید شده‌اند یا از طریق یک شریک یا فروشنده واسطه معتبر سیسکو خریداری شده‌اند. در بیشتر موارد این امر یک بروزرسانی حفظ‌کننده به نرم‌افزاری است اخیرا خریداری شده است. بروزرسانی‌های رایگان امنیتی نرم‌افزار حق داشتن License جدید نرم‌افزار، تنظیمات اضافی نرم‌افزاری یا بروزرسانی اصلی نسخه‌ها را به مشتریان نمی‌دهد.

به هنگام درنظرگیری بروزرسانی‌های نرم‌افزاری، به مشتریان توصیه می‌شود تا بطور مکرر به دنبال اطلاعیه‌های محصولات Cisco باشند که از صفحه Cisco Security Advisories قابل دسترسی است. این امر باعث تعیین راه‌کار بروزرسانی کامل و حل مشکل قرارگیری در معرض خطر می‌شود.

در تمامی موارد، مشتریان باید اطمینان حاصل کنند که تجهیزات ملزم به بروزرسانی دارای حافظه کافی هستند و تایید کنند که پیکربندی‌های کنونی نرم‌افزاری و سخت‌افزاری با نسخه جدید به درستی تحت حمایت خواهند بود. اگر اطلاعات شفاف نباشد، به مشتریان توصیه می‌شود تا با Cisco Technical Assistance Center (TAC) یا ارائه دهنده قراردادی خود تماس حاصل کنند.

مشتریان بدون قرارداد خدماتی

مشتریانی که بطور مستقیم از Cisco خرید خود را انجام می‌دهند اما دارای قرارداد سرویس Cisco نیستند و یا مشتریانی که خرید خود را از طریق Vendorهای شخص ثالث انجام می‌دهند اما در دریافت یک نرم‌افزار اصلاح شده از طریق خرید خود ناموفق هستند باید بروزرسانی خود را از طریق تماس با Cisco TAC انجام دهند.

مشتریان باید شماره سریال محصول خود را دارا باشند و آماده باشند تا URL این مطلب را به عنوان سند حق بروزرسانی رایگان ارائه دهند.

نسخه‌های اصلاح شده

به مشتریان توصیه می‌شود تا طبق جدول زیر به یک نسخه اصلاح شده ارتقا یابند:

Cisco Jabber برای Windows                                                                  نسخه اصلاح شده

12.1 

12.1.3

12.5

12.5.2

12.6

12.6.3

12.7

12.7.2

12.8

12.8.3

12.9

12.9.1

پکیج آموزشی VMware NSX شرکت APK