Информационная безопасностьНовости

Веб-сервер Zoom уязвим перед удаленным исполнением произвольного кода

На прошлой неделе ИБ-специалист Джонатан Лейтшух (Jonathan Leitschuh) сообщил об опасной проблеме, обнаруженной им в популярной платформе для видеоконференций Zoom.

При установке на macOS приложение поднимало на машине пользователя локальный веб-сервер с недокументированным API, который оставался в системе даже после удаления самого приложения и сохранял активность. В результате любой сайт, который помещал пользователь, мог взаимодействовать с упомянутым веб-сервером, обращаясь к порту 19421. Это позволяло осуществлять видеовызовы, подключаться к чужим звонкам и даже скрыто обновлять или переустанавливать само приложение (без каких-либо подтверждений со стороны жертвы). Хуже того, веб-сервер мог использоваться для и DoS-атак, для чего было достаточно простых пингов.

Под давлением общественности разработчики Zoom все же приняли решение полностью отказаться от использования небезопасного веб-сервера. Стоит заметить, что на происходящее отреагировали и представители компании Apple, тоже обратившие внимание на разразившийся скандал. Инженеры Apple выпустили тихое обновление, которое, не оповещая пользователей, удаляет опасный веб-сервер из системы.

Если некоторые пользователи еще не обновились до Zoom версии 4.4.53932.0709 и не избавились от потенциально опасного веб-сервера (или самого Zoom вообще), Джонатан Лейтшух еще раз призвал всех срочно сделать это, однако теперь по более веской причине. Исследователь сообщил, что веб-сервер Zoom уязвим перед RCE-багом, получившим идентификатор CVE-2019-13567.

🚨 RCE Alert! 🚨

That @zoom_us daemon (hidden web server) is now known to have a Remote Code Execution Vulnerability!

🚨Proof of concepts exist! 🚨

Mac Admins: make sure Zoom is up to date or that daemon is removed!

This vulnerability is now tracked under:

CVE-2019-13567 https://t.co/FxkGzYhhFD

— Jonathan Leitschuh (@JLLeitschuh) July 11, 2019

Фактически это значит, что с помощью веб-сервера Zoom можно выполнить произвольный код в уязвимой системе. И хотя технические детали бага пока не были опубликованы, PoC такой атаки уже можно увидеть в ролике ниже.

So yes, there was an RCE in the hidden zoom web server…

Great work by @JLLeitschuh for the initial research, for more details on if you’re affected see https://t.co/8oJHpN8Cw5

CVE-2019-13567 pic.twitter.com/6qGHH5HsF5

— William Bowling (@wcbowling) July 11, 2019