Lỗ hổng có số hiệu là CVE-2018-15442, được các nhà nghiên cứu của Counter Hack phát hiện ra và có tên gọi là WebExec. Lỗ hổng ảnh hưởng tới các phiên bản 33.6.4 trở về trước trên ứng dụng máy tính để bàn của Cisco Webex Meetings và các công cụ Webex Productivity Tools phiên bản từ 32.6.0 đến trước 33.0.6.
Cisco phát hành bản sửa lỗi đầu tiên vào ngày 24/10, khi các nhà nghiên cứu đưa ra kết quả công khai cùng với những bằng chứng chứng minh về lỗ hổng (PoC)
Lỗ hổng bảo mật gây ra do không xác thực các thông số người dùng, cho phép kẻ tấn công cục bộ và được xác thực để thực thi các lệnh tùy ý với những đặc quyền của hệ thống (SYSTEM). Tuy nhiên, Cisco đã cảnh báo rằng việc khai thác từ xa cũng có thể xảy tra trong các triển khai Active Directory.
Ngay sau khi những thông tin về lỗ hổng được công khai, các nhà nghiên cứu tại SecureAuth đã phát hiện ra rằng bản vá của Cisco chưa hoàn chỉnh - có thể bị bỏ qua bằng việc sử dụng kỹ thuật giống như DLL hijacking (tấn công thư viện động).
SecureAuth cho biết: “Lỗ hổng có thể bị khai thác bằng cách sao chép vào một thư mục điều khiển bởi một kẻ tấn công cục bộ là ptUpdate.exe. Ngoài ra, một DLL độc hại được đặt trong một thư mục tương tự có tên là wbxtrace.dll. Để chiếm được các đặc quyền, tin tặc phải khởi chạy dịch vụ bằng dòng lệnh: sc start webexservice install software-update (Nếu tham số 1 không làm việc thì sử dụng tham số 2)”.
SecureAuth đã thông báo cho Cisco vào ngày 9/11 và Cisco đã nhanh chóng xác nhận điều này. Thứ Ba vừa qua, Cisco đã đưa ra bản vá mới cập nhật những thiếu sót trước đó cho người dùng.
Cisco cho biết: “Sau khi một phương pháp tấn công bổ sung được báo cáo tới Cisco, việc vá lỗ hổng này trước đó đã được xác định là vẫn còn thiếu sót. Bản vá lỗi mới đã được phát triển và được cập nhật vào ngày 27/11/2018 đã bao gồm bản sửa lỗi hoàn thiện”.