Se ha divulgado públicamente la detección de 4 vulnerabilidades en la popular plataforma de videoconferencia Zoom. Según el reporte, la explotación exitosa de estas fallas permitiría el despliegue de múltiples escenarios de hacking en dispositivos con sistemas Windows, macOS, Linux, iOS y Android.
A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de identificación y puntajes asignados según el Common Vulnerability Scoring System (CVSS).
CVE-2022-22787: El software de la aplicación no valida correctamente el nombre de host durante una solicitud de cambio de servidor, lo que permitiría a los actores de amenazas remotos desplegar ataques Man-in-The-Middle (MiTM).
Esta es una vulnerabilidad de severidad media y recibió una puntuación CVSS de 4.9/10.
CVE-2022-22786: La verificación incorrecta de la versión de software instalada durante el proceso de actualización permitiría a los atacantes remotos engañar a la víctima para instalar una versión anterior de Zoom.
Esta es una falla de baja severidad y recibió un puntaje CVSS de 3.7/10.
CVE-2022-22785: El cliente de Zoom no puede restringir correctamente las cookies de sesión del cliente a los dominios de Zoom. Los hackers maliciosos remotos pueden obtener las cookies de usuarios desprevenidos para realizar ataques de suplantación de identidad en la plataforma.
La falla recibió una puntuación CVSS de 3.1/10.
CVE-2022-22784: Una validación de entrada incorrecta al procesar datos XML dentro de mensajes XMPP permitiría a los actores de amenazas remotos enviar mensajes especialmente diseñados al chat de Zoom, saliendo del contexto del mensaje XMPP y falsificando mensajes de otros usuarios de la aplicación.
Esta es una vulnerabilidad de severidad media y recibió una puntuación CVSS de 4.7/10.
Según el reporte, las fallas residen en las siguientes versiones de Zoom:
- Cliente Zoom para Windows: 4.0.35295.0605 – 5.5.4 13142.0301
- Cliente Zoom para Linux: 5.1.418436.0628 – 5.9.6 2225
- Cliente Zoom para macOS: 4.6.9 19273.0402 – 5.9.6 4993
- Cliente Zoom para Android: 4.6.11 20553.0413 – 5.9.6 4756
- Cliente Zoom para iOS: 4.6.10 20012.0407 – 5.9.6 2729
Si bien las fallas pueden ser explotadas por actores de amenazas remotos no autenticados, hasta el momento no se han detectado intentos de explotación activa. Aún así, Zoom recomienda a los usuarios de implementaciones afectadas actualizar a la brevedad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).