Cabecera-v2-web.jpg

Múltiples vulnerabilidades en la plataforma Zoom


16/11/2021

Un grupo de investigadores ha identificado un total de tres fallos críticos que afectan a la plataforma Zoom, estos fallos pueden ser abusados por un administrador (o moderador) malintencionado del portal Zoom para inyectar y ejecutar comandos arbitrarios en la máquina que aloja el software.

Zoom patches vulnerabilities in its range of conferencing apps - New York Tech Media

La vulnerabilidad CVE-2021-34414 de severidad alta con una puntuación de 7.2, se debe a que la página de proxy de red en el portal web para el controlador de Meeting Connector Controller, Meeting Connector MMR, Recording Connector, Virtual Room Connector y el Virtual Room Connector Load Balancer no validan la entrada enviada en las solicitudes para actualizar la configuración del proxy de red, lo que podría llevar a la inyección de comandos remotos en el sistema local por un administrador del portal web.

La segunda de las vulnerabilidades identificada como CVE-2021-34415 de severidad alta con una puntuación de 7.5, se debe a que el servicio Zone Controller en Meeting Connector Controller, no verifica el campo cnt enviado en los paquetes de red entrantes, lo que conduce al agotamiento de los recursos y al bloqueo del sistema. Esta vulnerabilidad se eliminó en la versión 4.6.358.20210205 del Meeting Connector Controller.

Otra vulnerabilidad identificada como CVE-2021-34416 de severidad crítica con una puntuación de 9.8, se debe a que el portal web de configuración administrativa de la dirección de red para Meeting Connector, Meeting Connector MMR, Recording Connector, Virtual Room Connector y Virtual Room Connector Load Balancer falla al validar la entrada enviada en las solicitudes para actualizar la configuración de red, lo que podría conducir a una inyección de comandos remotos en el sistema local por parte de los administradores del portal web.

Se debe tener en cuenta que todas estas vulnerabilidades se pueden explotar si un atacante logra obtener las credenciales de inicio de sesión de un usuario con derechos administrativos.

La explotación exitosa de las vulnerabilidades podría permitir a un atacante bloquear o secuestrar instancias locales del sistema de videoconferencia.

Desde el CERT-PY recomendamos actualizar a la última versión disponible de las aplicaciones afectadas.

Información adicional:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11