Cisco WebEx URL 원격 명령 실행 관련 이슈

이번에 포스팅할 내용은 Cisco WebEx URL에서 원격 명령 실행에 관한 취약점에 대한 내용입니다.
Cisco의 Chrome Browser용 WebEX 플러그인은 URL에 매직 패턴
"cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html"이 포함되어 있으면
원격 명령 실행을 허용하는 취약점이 있습니다.

이 "매직"패턴은 WebEx 서비스가 원격 회의를 시작하기 위해 사용하는 패턴인데
공격자는 해당 취약점을 이용하여 악성 명령을 원격으로 실행할 수 있게 됩니다.
여기서 매직패턴은 iframe에 내장되어 있습니다.

악용하는 코드에는 계산기 응용 프로그램을 여는 코드가 있습니다.

아직 해당 취약점에 대한 대안은 나오지 않았습니다.
그러나 Windows 10 시스템 관리자 및 사용자는 Microsoft Edge가 이 취약점의 영향을 받지 않으므로
Microsoft Edge를 사용하여 WebEx 세션에 참가하고 참여할 수 있습니다.

또한 관리자 및 사용자는 https://help.webex.com/docs/DOC-2672에서 제공되는
Meeting Services Removal Tool을 사용하여 Windows 시스템에서 모든 WebEx 소프트웨어를
제거 할 수 있습니다.

해당 환경에 현재 웹 프록시 또는 웹 게이트웨이가 있는 고객은 URL 필터링 정책을 작성하여
다음 조건과 일치하는 웹 요청을 차단할 수 있습니다.
- 문자열 패턴 : "cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html"을 포함하는 URL 요청
- 알려진 고객의 WebEx 사이트 URL과 일치하지 않는 URL 호스트 이름
(예 : https://company.webex.com/cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html의 company.webex.com)

해당 취약점에 대한 링크는 다음의 링크에서 확인할 수 있습니다.
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170124-webex
이 취약점은 지원되는 대부분의 브라우저(Google Chrome, Mozilla Firefox, Windows 용 Internet Explorer)에서
실행될 때 Windows 용 Cisco WebEx 확장 및 플러그인에 영향을 줍니다.

이번에는 Cisco 원격명령 실행에 관한 취약점 관련 이슈를 올려드렸습니다.
다음에도 유익한 정보 올릴 수 있도록 하겠습니다.
감사합니다.