Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en los dispositivos de video Cisco Webex y los endpoints de colaboración de Cisco en la implementación SSL de la solución Cisco Intelligent Proximity (CVE-2020-3155)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-295 Validación incorrecta de certificados
Fecha de publicación:
04/03/2020
Última modificación:
05/03/2020

Descripción

Una vulnerabilidad en la implementación SSL de la solución Cisco Intelligent Proximity, podría permitir a un atacante remoto no autenticado visualizar o modificar la información compartida en los dispositivos de video Cisco Webex y los endpoints de colaboración de Cisco si los productos cumplen con las condiciones descritas en la sección de Productos Vulnerables. La vulnerabilidad es debido a la falta de comprobación del certificado del servidor SSL recibido cuando se establece una conexión a un dispositivo de video Cisco Webex o un endpoint de colaboración de Cisco. Un atacante podría explotar esta vulnerabilidad al usar técnicas de tipo man in the middle (MITM) para interceptar el tráfico entre el cliente afectado y un endpoint, y luego utilizar un certificado falsificado para suplantar el endpoint. Dependiendo de la configuración del endpoint, una explotación podría permitir al atacante visualizar el contenido de presentación compartido en él, modificar cualquier contenido presentado por la víctima o tener acceso a los controles de llamadas. Esta vulnerabilidad no afecta a los endpoints de colaboración registrados en la nube.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.40 ALTA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
7.40
Gravedad 3.x
ALTA
Vector 2.0
AV:N/AC:M/Au:N/C:P/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.80 MEDIA
Vector: AV:N/AC:M/Au:N/C:P/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno

Puntuación base 2.0
5.80
Gravedad 2.0
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:cisco:intelligence_proximity:*:*:*:*:*:*:*:*
cpe:2.3:a:cisco:jabber:*:*:*:*:*:*:*:*
cpe:2.3:a:cisco:meeting:*:*:*:*:*:*:*:*
cpe:2.3:a:cisco:webex_meetings:*:*:*:*:*:*:*:*
cpe:2.3:a:cisco:webex_teams:*:*:*:*:*:*:*:*
cpe:2.3:o:cisco:telepresence_codec_c40_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:telepresence_codec_c40:-:*:*:*:*:*:*:*
cpe:2.3:o:cisco:telepresence_codec_c60_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:telepresence_codec_c60:-:*:*:*:*:*:*:*
cpe:2.3:o:cisco:telepresence_codec_c90_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:telepresence_codec_c90:-:*:*:*:*:*:*:*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información