思科于本周三(9/2)修补了17个安全漏洞,除了两个已遭黑客开采的零时差漏洞CVE-2020-3566及CVE-2020-3569之外,安全企业Watchcom表示,当天思科所修补的最严重漏洞当属CVE-2020-3495,该漏洞存在于Cisco Jabber for Windows中,黑客只要发送一个特定的消息,完全不需用户交互就能开采,且成功的开采将允许黑客自远程执行程序。
Cisco Jabber为统一一通信解决方案,提供即时通讯、语音/视频通话、语音频息、桌面分享及视频会议等功能,Cisco Jabber for Windows即是它的Windows客户端程序。
Watchcom说明,Cisco Jabber客户端奠基在Chromium嵌入式框架(Chromium Embedded Framework,CEF)上,并使用可扩展消息及呈现协议(Extensible Messaging and Presence Protocol,XMPP)传递消息与更新呈现状态。其中,CEF允许开发人员把Chromium浏览器嵌入应用程序中,通常于该嵌入式浏览器执行的程序代码是在沙箱运行的,但开发者有时会绕过沙箱以访问文件或执行系统调用,陷应用程序于安全风险中。
XMPP则是个基于XML的通讯与呈现协议,它是个可扩展的协议,可借由各种扩展来增加该协议的功能,其中之一为XEP-0071: XHTML-IM,可用来定义含有HTML格式的即时消息如何通过XMPP交换,同时假定HTML内容是恶意的以进行消毒。
然而,研究显示,XHTML-IM替Cisco Jabber带来跨站脚本(Cross-site scripting,XSS)漏洞,因为它没能适当地消毒HTML内容,还将它们通过有缺陷的XSS过滤器传递。由于该过滤器黑名单机制并不全面,使得Cisco Jabber的CEF能够执行通过该过滤器的任何脚本程序。
根据分析,该过滤器会放过较少用的onAnimationStart属性,因此,采用该属性的HTML标签都能绕过过滤器,于是,黑客便有机会创建恶意的HTML标签并于Cisco Jabber上执行。
由于XHTML-IM为Cisco Jabber通讯的默认值,因此黑客很容易就能借由一个恶意的消息,来拦截与变更由Cisco Jabber所发送的消息,还能创建可自动传播的蠕虫消息,最终将允许黑客自远程执行系统上既有的任何应用程序。
CVE-2020-3495被思科列为重大(Critical)漏洞,其CVSS 3.0风险评分高达9.9。