百度360必应搜狗淘宝本站头条
框架图cad怎么画框架grpc框架flask框架scrapy框架
当前位置:网站首页 > 技术文章 > 正文

思科是如何遭黑客入侵?原因:XSS缺陷到RCE缺陷

ccwgpt 2024-10-12 02:49 69 浏览 0 评论

网络设备制造商思科已经发布了适用于Windows的Jabber视频会议和消息传递应用程序的新版本,其中包括针对多个漏洞的补丁,如果利用这些漏洞,则可能允许经过身份验证的远程攻击者执行任意代码。

东方联盟网络安全研究人员在一次渗透测试中发现了这些缺陷,这些缺陷影响了Jabber客户端当前所有受支持的版本(12.1-12.9),并已由公司修复。

通过在小组对话或特定个人中发送经特殊设计的聊天消息,可以利用这四个缺陷中的两个来在目标系统上获得远程代码执行(RCE)。

其中最严重的漏洞是由于对邮件内容进行不正确的验证而导致的漏洞(CVE-2020-3495,CVSS得分9.9),攻击者可以通过发送恶意制作的可扩展消息和状态协议(XMPP)消息来利用此漏洞。到受影响的软件。

思科昨天在咨询发布会表示:“一个成功的攻击可以让攻击者造成与正在运行的Cisco Jabber客户端软件,可能导致执行任意代码的用户帐户的权限在目标系统上执行任意程序的应用”。

在思科警告其IOS XR路由器软件中存在被积极利用的零日漏洞之后几天,才进行了此项开发。

XSS缺陷到RCE缺陷

XMPP(最初称为Jabber)是一种基于XML的通信协议,用于促进任何两个或多个网络实体之间的即时消息传递。

它还被设计为可扩展的,以适应其他功能,其中之一就是XEP-0071:XHTML-IM-规范了使用XMPP协议交换HTML内容的规则。

入侵思科

解析XHTML-IM消息时,跨站点脚本(XSS)漏洞引起了Cisco Jabber的缺陷。

东方联盟的研究人员解释说:“该应用程序无法正确清理传入的HTML消息,而是将它们通过有缺陷的XSS过滤器传递。”

结果,合法的XMPP消息可以被拦截和修改,从而使应用程序运行应用程序的本地文件路径中已经存在的任意可执行文件。

为了实现这一点,它利用了Chromium嵌入式框架(CEF)中的一个单独的易受攻击的功能,一种用于将Chromium Web浏览器嵌入到其他应用程序中的开放源代码框架,可能被不良行为者滥用以执行恶意行为和受害者计算机上的“ exe”文件。

但是,攻击者必须访问受害者的XMPP域,才能发送成功利用此漏洞所需的恶意XMPP消息。

此外,Jabber中的其他三个缺陷(CVE-2020-3430,CVE-2020-3498,CVE-2020-3537)可以被利用来注入恶意命令并导致信息泄露,包括可能会秘密收集用户的NTLM密码哈希。

随着大流行之后视频会议应用程序的流行,至关重要的是,Jabber用户必须更新到该软件的最新版本以减轻风险。

知名白帽黑客、东方联盟创始人郭盛华透露:“鉴于它们在各种规模的组织中的新发现,这些应用程序已成为攻击者越来越有吸引力的目标。许多敏感信息是通过视频通话或即时消息共享的,并且大多数员工(包括那些有权访问其他IT系统的员工)都使用这些应用程序。因此,这些应用程序的安全性至关重要,确保定期检查应用程序本身及其使用的基础结构是否存在安全漏洞非常重要。”(欢迎转载分享)

相关推荐

盲盒小程序背后的技术揭秘:如何打造个性化购物体验

在2025年的今天,盲盒小程序作为一种新兴的购物方式,正以其独特的魅力和个性化体验吸引着越来越多的消费者。这种将线上购物与盲盒概念相结合的应用,不仅为消费者带来了未知的惊喜,还通过一系列技术手段实现了...

小程序·云开发已支持单日亿级调用量,接口可用率高达99.99%

2019-10-1914:1210月19日,由腾讯云与微信小程序团队联合举办的“小程序·云开发”技术峰会在北京召开。会上,微信小程序团队相关负责人表示“小程序·云开发”系统架构已经支持每天亿级别的...

程序员副业开启模式:8个GitHub上可以赚钱的小程序

前言开源项目作者:JackonYang今天推荐的这个项目是「list-of-wechat-mini-program-list」,开源微信小程序列表的列表、有赚钱能力的小程序开源代码。这个项目分为两部分...

深度科普:盲盒小程序开发的底层逻辑

在当下的数字化浪潮中,盲盒小程序以其独特的趣味性和互动性,吸引着众多消费者的目光。无论是热衷于收集玩偶的年轻人,还是享受拆盒惊喜的上班族,都对盲盒小程序情有独钟。那么,这种备受欢迎的盲盒小程序,其开发...

微信小程序的制作步骤

SaaS小程序制作平台,作为数字化转型时代下的创新产物,不仅将易用性置于设计的核心位置,让非技术背景的用户也能轻松上手,快速制作出功能丰富、界面精美的小程序,更在性能和稳定性方面投入了大量精力,以确保...

携程开源--小程序构建工具,三分钟搞定

前言今天推荐的这个项目是「wean」,一个小程序构建打包工具。在wean之前,大量小程序工具使用webpack进行打包,各种loader、plugin导致整个开发链路变长。wean旨在解...

校园小程序的搭建以及营收模式校园外卖程序校园跑腿校园圈子系统

校园小程序的架构设计主要包括云端架构和本地架构两部分。云端架构方面,采用Serverless架构可以降低技术门槛,通过阿里云、腾讯云等平台提供的云服务,可以实现弹性扩容和快速部署。例如,使用云数据库、...

盲盒小程序开发揭秘:技术架构与实现原理全解析

在2025年的今天,盲盒小程序作为一种结合了线上购物与趣味性的创新应用,正受到越来越多用户的喜爱。其背后的技术架构与实现原理,对于想要了解或涉足这一领域的人来说,无疑充满了神秘与吸引力。本文将为大家科...

月活百万的小程序架构设计:流量暴增秘籍

从小程序到"大"程序的蜕变之路当你的小程序用户量从几千跃升至百万级别时,原有的架构就像一件不合身的衣服,处处紧绷。这个阶段最常遇到的噩梦就是服务器崩溃、接口超时、数据丢失。想象一下,在...

认知智能如何与产业结合?专家学者共探理论框架与落地实践

当前,以大模型为代表的生成式人工智能等前沿技术加速迭代,如何将认知智能与产业结合,成为摆在各行各业面前的一个问题。论坛现场。主办方供图7月4日,2024世界人工智能大会暨人工智能全球治理高级别会议在...

现代中医理论框架

...

认知行为(CBT)中的ABC情绪理论

情绪ABC理论是由美国心理学家阿尔伯特·艾利斯(AlbertEllis1913-2007)创建的理论,A表示诱发性事件(Activatingevent),B表示个体针对此诱发性事件产生的一些信...

说说卡伦霍妮的理论框架,对你调整性格和人际关系,价值很大

01自在今天我主要想说下霍妮的理论框架。主要说三本书,第一本是《我们时代的神经症人格》,第二本是《我们内心的冲突》,第三本是《神经症与人的成长》。根据我的经验,三本书价值巨大,但并不是每个人都能读进去...

供应链管理-理论框架

一个最佳价值的供应链,应该是一个具有敏捷性、适应性和联盟功能(3A)的供应链,其基本要素包括战略资源、物流管理、关系管理以及信息系统,目标是实现速度、质量、成本、柔性的竞争优势。篇幅有...

微信WeUI设计规范文件下载及使用方法

来人人都是产品经理【起点学院】,BAT实战派产品总监手把手系统带你学产品、学运营。WeUI是一套同微信原生视觉体验一致的基础样式库,由微信官方设计团队为微信Web开发量身设计,可以令用户的使用感知...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表