Bu güvenlik kusurları, davetsiz misafirlerin Zoom toplantılarınızı gözetlemesine izin verebilirdi. Uzlaşmayı kolaylaştıran üç güvenlik açığı düzeltildi.

Siber güvenlik araştırmacıları, suçluların toplantılardan gelen verileri ele geçirmesine ve müşteri altyapısına saldırmasına izin verebilecek Zoom’daki üç güvenlik açığının düzeltilmesine yardımcı oldu.

Positive Technologies tarafından işaretlenen güvenlik açıkları, Zoom Meeting Connector Controller, Zoom Virtual Room Connector, Zoom Recording Connector ve diğerleri dahil olmak üzere Zoom’un video konferans uygulamaları ve araçları portföyündeki birkaç kritik uygulamada mevcuttu.

Egor, “Bu uygulamalar şirketteki tüm konferanslardan gelen trafiği işler, bu nedenle, güvenlikleri ihlal edildiğinde en büyük tehlike, bir davetsiz misafirin Ortadaki Adam saldırısı gerçekleştirebilmesi ve konferanslardan herhangi bir veriyi gerçek zamanlı olarak ele geçirebilmesidir” diyor. Dimitrenko, kusurları keşfeden araştırmacıdır.

Dimitrenko, etkilenen uygulamalar kurumsal ağın dış çevresinde çalıştığı için, saldırganlara bir kuruluşun konferans düzenleme yeteneğini bozma yeteneği vermenin yanı sıra, kusurların uzak davetsiz misafirlerin şirketin ağına girmesine de izin verebileceğini ekliyor.

Uygunsuz Yetkilendirme

Dimitrenko’ya göre, CVE-2021-34414, CVE-2021-34415 ve CVE-2021-34416 olarak izlenen üç güvenlik açığı, saldırganların kök kullanıcı ayrıcalıklarıyla sunucuda rastgele kod yürütmesini sağlayabilirdi.

Positive Technologies’e göre, kusurlardan yararlanmak için bir saldırganın, varsayılan uygulamada oluşturulan yönetici kullanıcı gibi yönetici haklarına sahip herhangi bir kullanıcının oturum açma kimlik bilgilerini alması gerekiyordu.

Ancak Dimitrenko, Zoom’un katı bir parola politikasına bağlı kalmaması ve web arayüzü üzerinden parola tahminine karşı koruma sağlamaması nedeniyle bunun çok da zor olmadığını savunuyor.

“Sunucu yönetimi görevlerinin devredildiği uygulamalarda bu sınıfın güvenlik açıklarıyla sık sık karşılaşabilirsiniz. Bu güvenlik açığı her zaman kritik sonuçlara yol açar ve çoğu durumda davetsiz misafirlerin kurumsal ağ altyapısı üzerinde tam kontrol sahibi olmalarına neden olur” diyor Dimitrenko.

Ancak iyi haber şu ki, üç güvenlik açığı da düzeltildi ve kullanıcılara gecikmeden güncelleme yapmaları tavsiye ediliyor.