พบช่องโหว่ MitM บน Cisco Jabber เสี่ยงถูกดักฟังข้อมูล

นักวิจัยจาก Synacktiv บริษัทให้คำปรึกษาด้านความปลอดภัยของฝรั่งเศส ได้ออกมาเปิดเผยถึงช่องโหว่ความรุนแรงสูงของ Cisco Jabber โปรแกรมแชทชื่อดังสำหรับองค์กร ซึ่งช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ Man-in-the-Middle เพื่อดักฟังข้อมูล ขโมยรหัสผ่าน และสามารถแก้ไขข้อความที่ส่งหากันระหว่างผู้ใช้ได้

รายละเอียดช่องโหว่

Cisco Jabber รองรับการใช้ STARTTLS สำหรับเข้ารหัสการติดต่อสื่อสารระหว่าง Client และ Jabber Gateway แต่การใช้ Extension ดังกล่าวกลับไม่มีการตกลงกันระหว่าง Client และ Gateway ให้แน่ชัด นั่นคือ ถ้า Client เห็นว่าข้อความที่ส่งมามีการใช้ STARTTLS ตนเองก็จะใช้ตาม แต่ถ้าไม่มีก็จะรับส่งข้อมูลแบบ Plain-text แทน

ผลลัพธ์ที่เกิดขึ้นคือ แฮ็คเกอร์สามารถเข้ามาคั่นกลาง ปลอมตัวเป็น Gateway เพื่อโจมตีแบบ Man-in-the-Middle ได้ กล่าวคือ แฮ็คเกอร์สามารถยกเลิกการใช้ STARTTLS และบังคับให้ Client รับส่งข้อมูลกับตนเองในรูปของ Plain-text ส่งผลให้แฮ็คเกอร์สามารถแอบดูและแก้ไขข้อมูลการสื่อสาร ก่อนเข้ารหัสโดยใช้ STARTTLS ส่งต่อไปยัง Jabber Gateway

เวอร์ชันที่ได้รับผลกระทบ

ช่องโหว่นี้ได้รับรหัส CVE-2015-6409 ซึ่งส่งผลกระทบต่อ Cisco Jabber เวอร์ชัน 8.x, 9.x, 10.x, 11.0.x และ 11.1.x ทั้งบนระบบปฏิบัติการ Windows, Apple iOS และ Android สำหรับ Jabber บน BlackBerry และ Mac OS X นั้น ไม่ได้รับผลกระทบแต่อย่างใด

Synacktiv ได้ส่งข้อมูลช่องโหว่นี้ไปให้ Cisco และทาง Cisco ก็ได้ทำการออกแพทช์เพื่ออุดช่องโหว่เป็นที่เรียบร้อยแล้วเช่นกัน สามารถดูรายละเอียดได้ที่ Security Advisory

รายละเอียดเพิ่มเติม: http://www.synacktiv.com/ressources/cisco_jabber_starttls_downgrade.pdf