Хакеры, готовьтесь: Cisco Webex уязвим для кражи данных через приглашения на встречи!
Компания Cisco устранила уязвимость высокой степени серьезности в своей платформе видеоконференций Webex, которая позволяла злоумышленникам осуществлять удаленное выполнение кода (RCE) на уязвимых устройствах. Ошибка была обнаружена в пользовательском URL-парсере приложения Cisco Webex и описана как «неадекватная проверка ввода». "Злоумышленник мог бы воспользоваться этой уязвимостью, убедив пользователя кликнуть на специальную ссылку приглашения в конференцию и загрузить произвольные файлы", - говорится на странице уязвимости в Национальной базе данных уязвимостей (NVD). "Удачная эксплуатация могла бы позволить атакующему выполнять произвольные команды с привилегиями целевого пользователя." Уязвимость зарегистрирована как CVE-2024-20236 и получила оценку серьезности 8.8 из 10 (высокая). Cisco также объяснила, что уязвимость имеется во всех старых версиях продукта, независимо от операционной системы или конфигурации системы. В сети гигант также сообщил, что нет обходных путей для этой ошибки, поэтому единственный способ уменьшить риск - установить обновление. Хотя это самая серьезная уязвимость, это не единственная, которую недавно исправила компания Cisco. Она также закрыла две другие ошибки: CVE-2025-20178 (6.0/10) и CVE-2025-20150 (5.3/10). Первая представляет собой уязвимость повышения привилегий в веб-интерфейсе управления Secure Networks Analytics и позволяет злоумышленникам выполнять произвольные команды с правами администратора. Вторая была обнаружена в Nexus Dashboard и позволяет злоумышленникам удаленно перечислять учетные записи пользователей LDAP, отделяя действительные аккаунты от недействительных. Хорошая новость заключается в том, что уязвимости в настоящее время не эксплуатируются в реальной жизни, сообщает BleepingComputer, ссылаясь на анализ от команды реагирования на инциденты безопасности продукции Cisco (PSIRT). Оборудование Cisco, как программное, так и аппаратное, популярно как в крупных компаниях, так и среди простых пользователей. Это делает их первоочередной мишенью для злоумышленников как с поддержкой государства, так и ориентированных на получение прибыли.
Cisco, похоже, решила напомнить всем, что «безопасность» — это не просто рекламный слоган, а крика в никуда. Вот они, молодцы, устранили уязвимость высокой степени серьезности в своей платформе видеоконференций Webex. Как ни странно, именно эта уязвимость позволяла злодеям выполнять удаленный код на чужих устройствах. Неадекватная проверка ввода — такая же «глубокая аналитика», как решить проблемы с трафиком, поставив еще один светофор.
Как сообщает Национальная база данных уязвимостей, удачливый злоумышленник мог бы всего лишь убедить пользователя кликнуть на изящную ссылку, чтобы обворовать его систему. Прекрасно, правда? А ведь здесь не далекие хакеры — только старые добрые наивные пользователи, попадающиеся на один и тот же крючок.
Уязвимость зарегистрирована как CVE-2024-20236 и получила оценку 8.8 из 10. Кажется, компания Cisco последовала моде оценок, ведь кто не хочет быть в топе? Удивительно, что уязвимость затрагивает все старые версии продуктов. Как будто тетки, ковыряющие свои древние телефоны, вдруг станут генерами кода — вот это скорость прогресса. Однако, опасайтесь: нет обходных путей, поэтому единственное решение — установить обновление. О, так просто — обновите свой софт, и все, как по волшебству!
Но на этом фантазии Cisco не закончились. Две другие уязвимости, более «скромные», CVE-2025-20178 и CVE-2025-20150, также оказались под пристальным вниманием. Но кого это волнует? Главное, что в реальной жизни они не эксплуатируются. Наверняка греют души немногочисленных администраторов, пока те уверенно дрожат от страха за свою продукцию.
Очевидно, что популярность оборудования Cisco среди крупных компаний и рядовых пользователей не просто удобство. Это такая блестящая мишень для злоумышленников, что прямо не знаешь, каким образом компания-создатель могла бы поддерживать такой стереотип. Все эти уязвимости — не что иное, как позорный след в лозунгах о безопасности, которые выгоднее всего защищать тем, кто в этом заинтересован — то есть самим Cisco.