Detectan fallos de seguridad en Zoom que permiten entrar sin invitación a reuniones y obtener audio y vídeo

Zoom, el servicio de videollamadas que disparó su popularidad durante la pandemia, ha alertado de tres fallos de seguridad encontrados en su software y por los que urge a los usuarios a actualizar el componente afectado. Las vulnerabilidades han sido identificadas por el Equipo de Seguridad Ofensiva de Zoom que se dedica a encontrar vulnerabilidades en el servicio y las ha calificado como de severidad alta (dos) y media (una).

Las vulnerabilidades de severidad alta son CVE-2022-28758 y CVE-2022-28759 y son de “control de acceso inadecuado”.  Ambas permiten a una atacante ingresar a una reunión que está teniendo lugar sin ser invitado a ella, obtener el audio y el vídeo de la misma y “causar otras disrupciones”, según la compañía.

La vulnerabilidad de severidad media, CVE-2022-28760, también es de “control de acceso inadecuado” pero en esta ocasión permite a un atacante que sí ha sido invitado a una reunión acceder y permanecer en ella de forma oculta para el resto de participantes.

Todas las vulnerabilidades afectan a un componente del servicio que es Zoom On-Premise Meeting Connector MMR, en versiones anteriores a la 4.8.20220815.130. Se trata de un componente de software necesario cuando se configura el servicio híbrido en la nube de Zoom, Zoom On Premise, que permite implementar servidores de comunicación de reunión o conectores de reunión de Zoom dentro de la red interna de una empresa.

En estos casos, mientras que los metadatos de los usuarios y de la reunión se administran en la nube pública,  las reuniones se hospedan en la nube privada.  Todo el tráfico de la reunión, incluyendo voz, vídeo y datos pasan por el conector de reunión de Zoom. Esta función está disponible para las cuentas Negocios, Enterprise y Educación. El conector de reunión se implementa a través de una plataforma de virtualización compatible con los paquetes OVF como VMware, entre otras.

Zoom recomienda a los administradores de redes actualizar Zoom On-Premise Meeting Connector MMR a través del cliente de máquina virtual que se esté empleando.