Zoom视频会议软件路径遍历漏洞分析报告

Zoom视频会议软件路径遍历漏洞分析报告 漏洞概述 2020年6月，Cisco Talos网络安全研究人员在Zoom视频会议软件中发现两个严重安全漏洞，允许远程攻击者通过聊天功能入侵系统。这两个漏洞都属于路径遍历类型，影响Zoom 4.6.10版本，已在4.6.12版本中修复。 漏洞详情 1. CVE-2020-6109 - GIF功能路径遍历漏洞 漏洞描述 ： 与Zoom利用GIPHY服务通过聊天交换动画GIF的功能相关 Zoom未对GIF源进行充分检查，允许嵌入来自攻击者控制的服务器的GIF 软件未能过滤可能导致目录遍历的文件名 攻击原理 ： 攻击者构造特殊GIF文件，其中包含恶意代码 通过聊天向目标用户或群组发送该GIF Zoom客户端接收后，将文件存储在系统特定文件夹中 由于缺乏文件名过滤，攻击者可控制文件存储位置，实现任意位置写入 影响 ： 攻击者可在目标系统任意位置写入文件 结合其他技术可实现任意代码执行 2. CVE-2020-6110 - 代码块共享功能远程代码执行漏洞 漏洞描述 ： 存在于Zoom处理通过聊天共享代码块的功能中 基于XMPP标准及其扩展实现 接收代码块无需安装额外插件 攻击原理 ： 攻击者构造包含恶意代码的特殊zip文件 通过聊天向目标用户发送共享代码块 Zoom自动创建包含代码块的zip文件并在接收端解压 解压前未验证zip文件内容，允许植入任意二进制文件 利用路径遍历漏洞可在预定目录外写入文件 影响 ： 无需用户交互即可植入任意二进制文件 可实现远程代码执行 最严重情况下需要目标用户交互 漏洞利用条件 攻击者需要向目标用户或群组发送特殊构造的聊天信息 目标系统运行Zoom 4.6.10或更低版本 对于CVE-2020-6110，最严重影响需要目标用户交互 修复方案 Zoom已在4.6.12版本中修复这两个漏洞，建议用户： 立即升级到Zoom 4.6.12或更高版本 禁用不必要的功能，如GIF共享或代码块共享 对员工进行安全意识培训，警惕可疑聊天信息 防御措施 及时更新 ：保持Zoom客户端始终为最新版本 最小权限原则 ：限制用户账户权限，降低漏洞影响 网络分段 ：隔离视频会议系统与其他关键系统 监控与检测 ：部署安全监控系统，检测异常文件写入行为 端点保护 ：使用高级端点保护解决方案防止恶意代码执行 技术影响分析 这两个漏洞展示了视频会议软件中常见的安全问题： 对用户输入验证不足 文件操作缺乏安全限制 自动处理功能的安全风险 路径遍历漏洞尤其危险，因为它们可以绕过应用程序的正常文件访问控制，将恶意文件写入系统关键位置，如启动文件夹或系统目录。 结论 Zoom作为疫情期间广泛使用的视频会议工具，其安全漏洞影响范围广泛。组织应重视此类漏洞，及时应用补丁，并实施纵深防御策略，以降低类似漏洞带来的风险。