RingCentral Security Bulletins

letzte Aktualisierung 08.09.2022 20:48 UHR (UTC)
CVE
Schweregrad
BEZEICHNUNG
Datum
Update erforderlich
Okta-Sicherheitslücke im Oktober 2023
CVE: 
Okta-Sicherheitslücke im Oktober 2023
HOCH
SCHWEREGRAD:  
HOCH
Antwort von RingCentral
BEZEICHNUNG:  
Antwort von RingCentral
30.10.2023
DATUM:  
30.10.2023
NEIN
Update erforderlich:  
NEIN
RingCentral ist die Sicherheitslücke im Support-Case-Management-System von Okta bekannt. RingCentral hat im Rahmen des Due-Diligence-Programms für Drittanbieter bestätigt, dass keine Daten oder Kundendaten von RingCentral betroffen sind. 
Beeinträchtigt dieser Vorfall Okta-Services, die RingCentral nutzt?
Nein. Okta hat bestätigt, dass die Produkte und Service, die seinen Kunden bereitgestellt werden, in keiner Weise beeinträchtigt wurden.  Wir möchten darauf hinweise, dann das Support-Case-Management-System und der Produktionsservice von Okta separate Einheiten sind. Letzterer ist voll funktionsfähig und wurde nicht beeinträchtigt. 
Alle Details zu diesem Vorfall entnehmen Sie bitte der offiziellen Stellungnahme von Okta: https://sec.okta.com/harfiles
Die Sicherheit unserer Produkte und Services sowie der Schutz unserer Kundendaten haben für RingCentral oberste Priorität. Wir werden auch weiterhin unsere Umgebung genau beobachten, um Business Continuity insgesamt sowie einen sicheren Betrieb sicherzustellen. Wenn Sie weitere Fragen zu unserem Sicherheitskonzept und den entsprechenden Maßnahmen haben, kontaktieren Sie uns gerne jederzeit.
CVE-2023-34362
CVE: 
CVE-2023-34362
HOCH
SCHWEREGRAD:  
HOCH
Sicherheitslücke bei MOVEit Transfer
BEZEICHNUNG:  
Sicherheitslücke bei MOVEit Transfer
08.6.2023
DATUM:  
08.6.2023
NEIN
Update erforderlich: 
NEIN
RingCentral kennt die Sicherheitslücke bei MOVEit Transfer von Progress, die von der NIST National Vulnerability Database unter der CVE-Nummer CVE-2023-34362gemeldet wurde. Basierend auf unserer Analyse gehen wir nicht davon aus, dass die Produkte und Services von RingCentral betroffen sind. Die Produkte und Services von RingCentral nutzen die MOVEit-Software nicht.
Beschreibung (wie von der NVD gemeldet): In Progress MOVEit Transfer wurde in den Versionen vor 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1. 5) und 2023.0.1 (15.0.1) eine SQL-Injection-Schwachstelle in der Webanwendung von MOVEit Transfer entdeckt, die nicht authentifizierten Angreifer:innen Zugriff auf die Datenbank von MOVEit Transfer ermöglichen könnte. Abhängig von der verwendeten Datenbank-Engine (MySQL, Microsoft SQL Server oder Azure SQL) könnten die Angreifer:innen möglicherweise Informationen über die Struktur und den Inhalt der Datenbank ableiten und SQL-Anweisungen ausführen, die Datenbankelemente ändern oder löschen.
Hier finden Sie die Mitteilung von Progress.
CVE-2022-28751
CVE: 
CVE-2022-28751
HOCH
SCHWEREGRAD:  
HOCH
Eskalation lokaler Berechtigungen im Zoom Auto Updater für macOS
BEZEICHNUNG:  
Eskalation lokaler Berechtigungen im Zoom Auto Updater für macOS
09.08.2022
DATUM:  
09.08.2022
NEIN
Update erforderlich::  
NEIN
RingCentral kennt die Schwachstelle in der Eskalation lokaler Berechtigungen für macOS-Clients CVE-2022-28751 sowie die nachfolgenden Schwachstellen CVE-2022-28756 und CVE-2022-28757. Auf Grundlage unserer Analyse gehen wir davon aus, dass RingCentral-Produkte nicht anfällig sind für diese Schwachstellen bei der Eskalation lokaler Berechtigungen für macOS-Clients.
Diese Schwachstelle entspricht der Meldung ZSB-22017, die von Zoom für Zoom-Clients und -Produkte gemeldet wurde.
Schweregrad (laut Zoom): Hoch
CVSS Score (laut Zoom):  8,8
CVSS Vector String (laut Zoom): CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Beschreibung  (laut Zoom): Der Zoom Client for Meetings für macOS (Standard und für IT-Administrator:innen) ab Version 5.7.3 und vor Version 5.11.3 enthält eine Schwachstelle im automatischen Update-Prozess. Lokale Benutzer:innen mit geringen Berechtigungen können diese Sicherheitsanfälligkeit ausnutzen, um ihre Berechtigungen bis auf die Root-Ebene zu eskalieren.
Gegenmaßnahme:
Benutzer:innen können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.
Quelle: Gemeldet von Patrick Wardle von Objective-See
Kompromittierung von Okta im Januar 2022
CVE: 
KOMPROMITTIERUNG VON OKTA IM JANUAR 2022
MITTEL
SCHWEREGRAD:  
Mittel
Antwort von RingCentral
BEZEICHNUNG:  
Antwort von RingCentral
24.03.2022
DATUM:  
24.03.2022
JA
Update erforderlich::  
JA
RingCentral ist die von Okta gemeldete und bestätigte Sicherheitsverletzung durch Sitel, einen ihrer Unterauftragsverarbeiter, bekannt. RingCentral nutzt Okta im Rahmen seiner internen Zero-Trust- und Single-Sign-on-Prozesse. Sitel bietet an verschiedenen Standorten, unter anderem in Europa, ergänzenden Tier-1-Support für RingCentral-Kunden. Wir haben keinerlei Belege dafür, dass der von Okta gemeldete Vorfall in irgendeiner Weise Auswirkungen auf RingCentral hatte. Außerdem konnte uns Sitel bestätigen, dass es intern keinerlei Überschneidungen gab zwischen der betroffenen Einzelperson und den Sitel-Mitarbeitenden, die Support für RingCentral erbringen. 
CVE-2021-34424
CVE: 
CVE-2021-34424
MITTEL
SCHWEREGRAD:  
Mittel
Prozessspeicheroffenlegung
in der RCApp, RCM
BEZEICHNUNG:  
Prozessspeicheroffenlegung in der RCApp, RCM
11.01.2022
DATUM:  
11.01.2022
JA
Update erforderlich::  
JA
Diese Schwachstelle entspricht der Meldung ZSB-21020, die von Zoom für Zoom-Clients und -Produkte gemeldet wurde.
Schweregrad (laut Zoom): Mittel
CVSS Score (laut Zoom):  5,3
CVSS Vector String (laut Zoom): CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Beschreibung  (laut Zoom): In Produkten, die in dieser Sicherheitsmeldung unter „Betroffene Produkte“ aufgelistet werden, wurde eine Schwachstelle entdeckt, die möglicherweise die Offenlegung des Prozessspeicherzustands zulässt. Diese Lücke könnte ausgenutzt werden, um möglicherweise Einblick in beliebige Bereiche des Produktspeichers zu erhalten.
Gegenmaßnahme:
Kunden wird nachdrücklich empfohlen, ihre Apps gemäß den standardmäßig definierten Schritten für MSI- und EXE-Updates zu aktualisieren, wenn sie durch die entsprechenden Upgrade-Meldungen dazu aufgefordert werden.
Betroffene RingCentral-Produkte: 
·         RCApp (mThor) vor Version 21.4.30
·         RCApp (Jupiter) vor Version 21.4.30
·         RCM Mobile Apps (iOS) vor Version 21.4.40208
·         RCM Mobile Apps (Android) vor Version 21.4.40206
·         RCM Desktop-Apps (Mac) vor Version 21.4.53875
·         RCM Desktop-Apps (Windows) vor Version 21.4.40194
·         RCM Desktop-App (Linux) 655666 vor Version 21.4.53809
·         RCM Rooms Host-App (Mac) vor Version 21.3.19700
·         RCM Rooms Host-App (Windows) vor Version 21.3.19702
Basierend auf diesen betroffenen Zoom-Produkten:
·         Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.8.4
·         Zoom Client for Meetings für Blackberry (für Android und iOS) vor Version 5.8.1
·         Zoom Client for Meetings für intune (für Android and iOS) vor Version 5.8.4
·         Zoom Client for Meetings für Chrome OS vor Version 5.0.1
·         Zoom Rooms für Konferenzräume (für Android, AndroidBali, macOS und Windows) vor Version 5.8.3
·         Controller für Zoom Rooms (für Android, iOS und Windows) vor Version 5.8.3
·         Zoom VDI vor Version 5.8.4
·         Zoom Meeting SDK für Android vor Version 5.7.6.1922
·         Zoom Meeting SDK für iOS vor Version 5.7.6.1082
·         Zoom Meeting SDK für Windows vor Version 5.7.6.1081
·         Zoom Meeting SDK für Mac vor Version 5.7.6.1340
·         Zoom Video SDK (für Android, iOS, macOS und Windows) vor Version 1.1.2
·         Lokaler Zoom Meeting-Connector vor Version 4.8.12.20211115
·         Lokaler Zoom Meeting-Connector-MMR vor Version 4.8.12.20211115
·         Lokaler Zoom Aufzeichnungs-Connector vor Version 5.1.0.65.20211116
·         Lokaler virtueller Zoom Raum-Connector vor Version 4.4.7266.20211117
·         Lokaler virtueller Zoom Raum-Connector Load Balancer vor Version 2.5.5692.20211117
·         Zoom Hybrid Zproxy vor Version 1.0.1058.20211116
·         Zoom Hybrid MMR vor Version 4.6.20211116.131_x86-64
Quelle: Gemeldet von Zoom als Antwort auf eine Meldung von Natalie Silvanovich von Google Project Zero
CVE-2021-34423
CVE: 
CVE-2021-34423
HOCH
SCHWEREGRAD:  
Hoch
Pufferüberlauf in RCApp, RCM
BEZEICHNUNG:  
Pufferüberlauf in RCApp, RCM
11.01.2022
DATUM:  
11.01.2022
JA
Update erforderlich::  
JA
Diese Schwachstelle entspricht der Meldung ZSB-21019, die von Zoom für Zoom-Clients und -Produkte gemeldet wurde.
Schweregrad (laut Zoom): Hoch
CVSS Score (laut Zoom):  7,3
CVSS Vector String (laut Zoom): CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L
Beschreibung  (laut Zoom): In Produkten, die in dieser Sicherheitsmeldung unter „Betroffene Produkte“ aufgelistet werden, wurde eine Schwachstelle bezüglich Pufferüberlauf entdeckt. Dies kann möglicherweise dazu führen, dass ein böswilliger Akteur den Dienst oder die Anwendung zum Absturz bringt oder diese Schwachstelle ausnutzt, um beliebigen Code auszuführen.
Gegenmaßnahme:
Kunden wird nachdrücklich empfohlen, ihre Apps gemäß den standardmäßig definierten Schritten für MSI- und EXE-Updates zu aktualisieren, wenn sie durch die entsprechenden Upgrade-Meldungen dazu aufgefordert werden.
Betroffene RingCentral-Produkte:
·         RCApp (mThor) vor Version 21.4.30
·         RCApp (Jupiter) vor Version 21.4.30
·         RCM Mobile Apps (iOS) vor Version 21.4.40208
·         RCM Mobile Apps (Android) vor Version 21.4.40206
·         RCM Desktop-Apps (Mac) vor Version 21.4.53875
·         RCM Desktop-Apps (Windows) vor Version 21.4.40194
·         RCM Desktop-App (Linux) 655666 vor Version 21.4.53809
·         RCM Rooms Host-App (Mac) vor Version 21.3.19700
·         RCM Rooms Host-App (Windows) vor Version 21.3.19702
Basierend auf diesen betroffenen Zoom-Produkten:
·         Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.8.4
·         Zoom Client for Meetings für Blackberry (für Android und iOS) vor Version 5.8.1
·         Zoom Client for Meetings für intune (für Android and iOS) vor Version 5.8.4
·         Zoom Client for Meetings für Chrome OS vor Version 5.0.1
·         Zoom Rooms für Konferenzräume (für Android, AndroidBali, macOS und Windows) vor Version 5.8.3
·         Controller für Zoom Rooms (für Android, iOS und Windows) vor Version 5.8.3
·         Zoom VDI vor Version 5.8.4
·         Zoom Meeting SDK für Android vor Version 5.7.6.1922
·         Zoom Meeting SDK für iOS vor Version 5.7.6.1082
·         Zoom Meeting SDK für Windows vor Version 5.7.6.1081
·         Zoom Meeting SDK für Mac vor Version 5.7.6.1340
·         Zoom Video SDK (für Android, iOS, macOS und Windows) vor Version 1.1.2
·         Lokaler Zoom Meeting-Connector vor Version 4.8.12.20211115
·         Lokaler Zoom Meeting-Connector-MMR vor Version 4.8.12.20211115
·         Lokaler Zoom Aufzeichnungs-Connector vor Version 5.1.0.65.20211116
·         Lokaler virtueller Zoom Raum-Connector vor Version 4.4.7266.20211117
·         Lokaler virtueller Zoom Raum-Connector Load Balancer vor Version 2.5.5692.20211117
·         Zoom Hybrid Zproxy vor Version 1.0.1058.20211116
·         Zoom Hybrid MMR vor Version 4.6.20211116.131_x86-64
Quelle: Gemeldet von Zoom als Antwort auf eine Meldung von Natalie Silvanovich von Google Project Zero
CVE-2021-45105
CVE: 
CVE-2021-45105
KRITISCH
SCHWEREGRAD:  
KRITISCH
Log4j Remote Code Execution (RCE)
BEZEICHNUNG:  
Log4j Remote Code Execution (RCE)
20.12.2021
DATUM:  
20.12.2021
NEIN
Update erforderlich::  
NEIN
RingCentral sind die Zero-Day-Schwachstelle CVE-2021-44228 in log4j sowie die nachfolgenden Schwachstellen CVE-2021-45046 und CVE-2021-45105 bekannt. Unsere Antwort und Gegenmaßnahmen zu CVE-2021-44228, einschließlich der Updates auf log4j 2.16 and log4j 2.17, gelten auch für CVE-2021-45046 und CVE-2021-45105.  Aufgrund unserer Analyse und Gegenmaßnahmen gehen wir auch weiterhin davon aus, dass RingCentral-Produkte nicht von der RCE-Schwachstelle betroffen sind. Das gilt auch für:
·  RingCentral Apps (mobil, Desktop, Webbrowser)
·  RingCentral Messaging (auch bekannt als Glip)
·  RingCentral Video 
·  RingCentral MVP (Message, Video, Phone)
·  RingCentral Engage (Video, Digital)
·  RingCentral Meetings (RCM)
·  RingCentral Contact Center
·  RingCentral Analytics Portal 
·  RingCentral Admin Portal
·  RingCentral General Web 
Schweregrad: KRITISCH
CVSS Score: 10,0
CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Beschreibung: Apache Log4j2 <=2.14.1 JNDI-Funktionen, die in Konfiguration, Log-Messages und Parametern verwendet werden, schützen nicht vor von Angreifern kontrollierten LDAP- und anderen JNDI-bezogenen Endpunkten. Ein Angreifer, der Log-Messages oder Log-Message-Parameter kontrollieren kann, ist in der Lage, beliebigen Code auszuführen, der von LDAP-Servern geladen wird, wenn die Message Lookup Substitution aktiviert ist. Ab log4j 2.15.0 ist dieses Verhalten standardmäßig deaktiviert. In früheren Versionen (>2.10) kann dieses Verhalten durch Setzen der Systemeigenschaft "log4j2.formatMsgNoLookups" auf "true" oder durch Entfernen der JndiLookup-Klasse aus dem Klassenpfad (Beispiel: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class) abgeschwächt werden. Java 8u121 (siehe https://www.oracle.com/java/technologies/javase/8u121-relnotes.html) schützt gegen Remote Code Execution, indem "com.sun.jndi.rmi.object.trustURLCodebase" und "com.sun.jndi.cosnaming.object.trustURLCodebase" standardmäßig auf "false" gesetzt werden.
CVE-2021-45046
CVE: 
CVE-2021-45046
KRITISCH
SCHWEREGRAD:  
KRITISCH
Log4j Remote Code Execution (RCE)
BEZEICHNUNG:  
Log4j Remote Code Execution (RCE)
20.12.2021
DATUM:  
20.12.2021
NEIN
Update erforderlich::  
NEIN
RingCentral sind die Zero-Day-Schwachstelle CVE-2021-44228 in log4j sowie die nachfolgenden Schwachstellen CVE-2021-45046 und CVE-2021-45105 bekannt. Unsere Antwort und Gegenmaßnahmen zu CVE-2021-44228, einschließlich der Updates auf log4j 2.16 and log4j 2.17, gelten auch für CVE-2021-45046 und CVE-2021-45105.  Aufgrund unserer Analyse und Gegenmaßnahmen gehen wir auch weiterhin davon aus, dass RingCentral-Produkte nicht von der RCE-Schwachstelle betroffen sind. Das gilt auch für:
·  RingCentral Apps (mobil, Desktop, Webbrowser)
·  RingCentral Messaging (auch bekannt als Glip)
·  RingCentral Video 
·  RingCentral MVP (Message, Video, Phone)
·  RingCentral Engage (Video, Digital)
·  RingCentral Meetings (RCM)
·  RingCentral Contact Center
·  RingCentral Analytics Portal 
·  RingCentral Admin Portal
·  RingCentral General Web 
Schweregrad: KRITISCH
CVSS Score: 10,0
CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Beschreibung: Apache Log4j2 <=2.14.1 JNDI-Funktionen, die in Konfiguration, Log-Messages und Parametern verwendet werden, schützen nicht vor von Angreifern kontrollierten LDAP- und anderen JNDI-bezogenen Endpunkten. Ein Angreifer, der Log-Messages oder Log-Message-Parameter kontrollieren kann, ist in der Lage, beliebigen Code auszuführen, der von LDAP-Servern geladen wird, wenn die Message Lookup Substitution aktiviert ist. Ab log4j 2.15.0 ist dieses Verhalten standardmäßig deaktiviert. In früheren Versionen (>2.10) kann dieses Verhalten durch Setzen der Systemeigenschaft "log4j2.formatMsgNoLookups" auf "true" oder durch Entfernen der JndiLookup-Klasse aus dem Klassenpfad (Beispiel: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class) abgeschwächt werden. Java 8u121 (siehe https://www.oracle.com/java/technologies/javase/8u121-relnotes.html) schützt gegen Remote Code Execution, indem "com.sun.jndi.rmi.object.trustURLCodebase" und "com.sun.jndi.cosnaming.object.trustURLCodebase" standardmäßig auf "false" gesetzt werden.
CVE-2021-44228
CVE: 
CVE-2021-44228
KRITISCH
SCHWEREGRAD:  
KRITISCH
Log4j Remote Code Execution
TITEL:  
Log4j Remote Code Execution
13.12.2021
DATUM:  
13.12.2021
NEIN
Update erforderlich:  
NEIN
RingCentral hat Kenntnis über die log4j 0-day-Schwachstelle, CVE-2021-44228 und die darauffolgende CVE-2021-45046. Unsere Reaktion und Gegenmaßnahmen in Bezug auf CVE-2021-45046, einschließlich Updates auf log4j 2.16.  
Aufgrund unserer Analyse und Gegenmaßnahmen gehen wir davon aus, dass RingCentral-Produkte nicht von der RCE-Schwachstelle (Remote Code Execution) betroffen sind. Hierzu gehören:
·   RingCentral Apps (Mobil, Desktop, Webbrowser)
·   RingCentral Messaging (auch bekannt als Glip)
·   RingCentral Video 
·   RingCentral MVP (Chat, Video, Telefon)
·   RingCentral Engage (Video, Digital)
·   RingCentral Contact Center
·   RingCentral Analytics Portal 
·   RingCentral Admin Portal
·   RingCentral Messaging (RCM)
Schweregrad: KRITISCH
CVSS Score: 10.0
CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Beschreibung: Apache Log4j2 <=2.14.1 JNDI-Funktionen, die in Konfiguration, Log-Messages und Parametern verwendet werden, schützen nicht vor von Angreifern kontrollierten LDAP- und anderen JNDI-bezogenen Endpunkten. Ein Angreifer, der Log-Messages oder Log-Message-Parameter kontrollieren kann, ist in der Lage, beliebigen Code auszuführen, der von LDAP-Servern geladen wird, wenn die Message Lookup Substitution aktiviert ist. Ab log4j 2.15.0 ist dieses Verhalten standardmäßig deaktiviert. In früheren Versionen (>2.10) kann dieses Verhalten durch Setzen der Systemeigenschaft "log4j2.formatMsgNoLookups" auf "true" oder durch Entfernen der JndiLookup-Klasse aus dem Klassenpfad (Beispiel: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class) abgeschwächt werden. Java 8u121 (siehe https://www.oracle.com/java/technologies/javase/8u121-relnotes.html) schützt gegen Remote Code Execution, indem "com.sun.jndi.rmi.object.trustURLCodebase" und "com.sun.jndi.cosnaming.object.trustURLCodebase" standardmäßig auf "false" gesetzt werden.