آسیب پذیری جدی RCE در افزونه های Cisco WebEx یافت شد

[ad_1]

هم رسان: برای دومین بار در سال جاری شاهد یک آسیب پذیری بسیار جدی در افزونه مرورگر WebEx مخصوص کروم و فایرفاکس در سیستم های سیسکو هستیم که به مهاجمان اجازه می دهد تا از راه دور کدهای مخرب را در کامپیوتر قربانی اجرا کنند.

به گزارش پایگاه خبری هم رسان به نقل از هکرنیوز، Cisco WebEx یک ابزار ارتباطی رایج برای رویداد های آنلاین از جمله جلسات، سمینارهای آنلاین و کنفرانس های ویدئویی است که به کاربران کمک می کند تا به راحتی با همکاران خود در سرتاسر دنیا ارتباط برقرار کرده و با آنها همکاری کنند. این افزونه در حدود 20 میلیون کاربر فعال دارد.
آسیب پذیری اجرای کد از راه دور (CVE-2017-6753) که توسط تاویس اورمندلی از Google Project Zero و کریس نکار از Divergent Security شناسایی شده است، در نتیجه نقص موجود در طراحی افزونه مرورگر WebEx به وجود آمده است.
مهاجمان برای استفاده از این آسیب پذیری تنها کافی است قربانیان را تشویق کنند تا از طریق مرورگر دارای افزونه آلوده وب سایتی را بازدید کنند که حاوی کدهای مخرب است.
بهره برداری موفق از این آسیب پذیری می تواند منجر به اجرای کد دلخواه با امتیازات مرورگر آسیب دیده و به دست آوردن کنترل سیستم آسیب دیده توسط مهاجم شود.
اورمندی می گوید:” مشکلات متعددی در نحوه عملکرد پاک سازی دیده می شود، که من برای نشان دادن آنها یک اکسپلویت اجرای کد از راه دور ایجاد کرده ام. این افزونه تنها در کروم 20 میلیون کاربر فعال دارد، البته احتمال آلوده شدن فایرفاکس و دیگر مرورگرها نیز بسیار زیاد است.”

سیسکو پیش از این بسته امنیتی مربوط به این آسیب پذیری را منتشر کرده و به روزرسانی “Cisco WebEx Extension 1.0.12” مخصوص مرورگرهای کروم و فایرفاکس را برای برطرف کردن این مشکل در اختیار کاربران قرار داده است، با این حال هیچ راه حل قطعی برای از بین بردن کامل این آسیب پذیری وجود ندارد.
سیسکو در بیانیه ای اعلام کرد:” این آسیب پذیری افزونه های Cisco WebEx Meetings Server، WebEx Centers، و Cisco WebEx Meetings در مرورگر را در زمان اجرا در ویندوز مایکروسافت آلوده می سازد.”
به طور کلی، برای کاهش تاثیرات یک حمله موفق به کاربران توصیه می شود تا تمامی نرم افزارها را به عنوان یک کاربر بدون دسترسی اجرا کنند. خوشبختانه مرورگرهای سافاری اپل، اینترنت اکسپلور مایکروسافت و اج مایکروسافت با این آسیب پذیری آلوده نشده اند.
شرکت سیسکو تائید کرده است که ابزارهای Cisco WebEx Productivity Tools، افزونه Cisco WebEx در مک و لینوکس، و Cisco WebEx در مرورگرهای اج مایکروسافت یا اینترنت اکسپلورر به این آسیب پذیری آلوده نشده اند.
این دومین بار در سال جاری است که آسیب پذیری اجرای کد از راه دور در افزونه Cisco WebEx شناسایی شده است.
حتی در اوایل سال جاری اورمندی به این غول شبکه درباره وجود آسیب پذیری اجرای کد از راه دور (RCE) در افزونه مرورگری WebEx هشدار داد که این امر باعث شد گوگل و موزیلا این افزونه را موقتا از فروشگاه های خود حذف کنند.

[ad_2]

لینک منبع

یک حمله سایبری سرتاسری می تواند خسارتی 121.4 میلیارد دلاری به اقتصاد جهانی وارد کند

[ad_1]

هم رسان: طبق گزارش جدیدی از شرکت Lloyd لندن که یکی از بزرگترین شرکت های بیمه دنیا به حساب می آید، یک حمله سایبری بزرگ و سرتاسری می تواند خسارتی معادل با 121.4 میلیارد دلار بر اقتصاد جهانی وارد کند.

به گزارش پایگاه خبری هم رسان به نقل از اینفوسکیوریتی، این شرکت در این گزارش که با همکاری شرکت توسعه دهنده پلتفرم تجزیه و تحلیل امنیت سایبری با نام Cyence آماده کرده است، می گوید تاثیرات اقتصادی مستقیم رویدادهای سایبری منجر به ضرر و زیان های اقتصادی قابل توجهی می شود. در صورتی که یک سرویس ابری بزرگ مختل شود، میزان ضرر و زیان های وارده می تواند بین 4.6 میلیارد دلار برای یک رویداد بزرگ و 53.1 میلیارد دلار برای یک رویداد شدید و جدی متغیر باشد.
در حالی که اگر این حمله از طریق یک آسیب پذیری نرم افزاری گسترده انجام شود، این ضرر و زیان ها بیشتر شده و بین 9.7 میلیارد دلار تا 28.7 میلیارد دلار متغیر خواهد بود.
به هر حال شرکت Lloyd می گوید به دلیل عدم اطمینان و تردید های موجود درحملات سایبری ضرر و زیان های اقتصادی ممکن است کمتر یا بیشتر از حد میانگین باشد.
در این گزارش این طور آمده است:” برای مثال اگرچه میانگین ضررو زیان ها در مورد یک خرابکاری در سرویس ابری برای یک حادثه بسیار شدید 53 میلیارد دلار است، اما این ضرر و زیان می تواند بنا به عواملی مانند سازمان های مختلف درگیر و مدت زمان از کار افتادن سرویس ابری بین حداکثر 121.4 میلیارد دلار و حداقل 15.6 میلیارد دلار متغیر باشد.”

میانگین 53 میلیارد دلار برابر با ضرر و زیان ناشی از یک بلای طبیعی مانند طوفان سندی ایالت متحده آمریکا در سال 2012 است، در حالی که عدد قابل توجه 120 میلیارد دلار تنها 0.2 درصد از تولید ناخالص دنیا و یا برابر با ضرر و زیان های طوفان کاترینا در سال 2005 است.
« اینگا بیل » مدیر عامل شرکت Lloyd می گوید:” این گزارش دیدگاه روشن و درستی درباره مقدار آسیب ها و ضرر و زیان ناشی از یک حمله سایبری را بر اقتصاد جهانی ارائه می دهد. حوادث سایبری نیز مانند برخی از بدترین بلایای طبیعی می توانند تاثیر شدیدی بر تجارت و اقتصاد داشته باشد، ادعاهای مختلفی را ایجاد کند و تا حد زیادی هزینه های ادعای خسارت را برای بیمه گرها افزایش دهد.”
او اضافه می کند:” بیمه گذاران باید پوشش سایبری را به این روش در نظر بگیرند و مطمئن شوند که محاسبات حق بیمه با واقعیت تهدید سایبری هماهنگی دارد.”
« پتی بانام » کارشناس انعطاف پذیری سایبری در Mimecast معتقد است که این چشم انداز فجیع که در این گزارش مطرح شده است مشکل در حال رشد حملات سایبری را برجسته تر می کند.
او می گوید:” سازمان ها با اتخاذ یک استراتژی ابری که به دنبال کاهش تعداد فروشندگان است، ممکن است با به خطر انداختن امنیت قصد صرفه جویی در هزینه های کوتاه مدت داشته باشند. بیمه سایبری نقش مهمی را در کاهش ضررو زیان ناشی از حملات سایبری ایفا می کند، اما سازمان ها باید بدانند که سیاست هایشان آنها را در مقابل چه چیزهایی مراقبت می کند و در چه شرایط باید مسئولیت زیان های وارد را تقبل کنند. ”
او اضافه می کند:” حملات پیچیده و تکامل یافته و عدم آموزش صحیح کارکنان، سازمان ها را در معرض خطر بزرگ شکستن شرایط سیاست اتخاذ شده قرار می دهد.”

[ad_2]

لینک منبع