Cisco
A népszerű Webex Video Conferencing platform biztonsági hibája lehetővé tette illetéktelen vagy nem hitelesített felhasználók csatlakozását privát online találkozókhoz. A magánélet és a potenciálisan sikeres kémkedési kísérletek átjárójának ilyen súlyos fenyegetését a Webex anyavállalat, a Cisco Systems javította.
A Cisco Systems által felfedezett és később javított újabb kiskapu lehetővé tette, hogy illetéktelen idegenek bebújhassanak a virtuális és privát megbeszélésekbe, még a jelszóval védettek és a lehallgatók is. A feltörés vagy a támadás sikeres kiváltásához csak a találkozóazonosító és a Webex mobilalkalmazás szükséges.
A Cisco Systems 7,5-es súlyossági besorolással fedezi fel a biztonsági rést a Webex videokonferenciákban:
A Webex biztonsági hibáját egy távoli támadó bármilyen hitelesítés nélkül kihasználhatja - jelezte a Cisco. A támadónak csupán a találkozóazonosítóra és egy Webex mobilalkalmazásra lenne szüksége. Érdekes módon a Webex iOS és Android mobilalkalmazásai is használhatók a támadás elindítására - értesítette a Cisco a Pénteki tanácsadás ,
„Egy illetéktelen résztvevő kiaknázhatja ezt a biztonsági rést, ha hozzáférhet egy ismert értekezlet-azonosítóhoz vagy a találkozó URL-jéhez a mobil eszköz böngészőjéből. Ezután a böngésző kéri az eszköz Webex mobilalkalmazásának elindítását. Ezután az interloperátor hozzáférhet az adott megbeszéléshez a mobil Webex alkalmazáson keresztül, jelszó nem szükséges. ”
RT fenyegetõoszlop: A #Cisco A hiba lehetővé teheti egy távoli, nem hitelesített támadó számára, hogy jelszóval védett videokonferencia-értekezleten vegyen részt. #ICYMI https://t.co/gbNkUyOYN9
- Meadow Mountain Tech (@meadowmttech) 2020. január 26
A Cisco kitalálta a hiba kiváltó okát. „A biztonsági rés annak tudható be, hogy egy adott értekezlet csatlakozási folyamatának nem kívánt értekezlet-információi vannak kitéve a mobilalkalmazások számára. Egy illetéktelen résztvevő kihasználhatja ezt a biztonsági rést, ha hozzáférhet egy ismert értekezlet-azonosítóhoz vagy a találkozó URL-jéhez a mobil eszköz böngészőjéből. '
Az egyetlen szempont, amely feltárta volna a lehallgatót, a virtuális megbeszélés résztvevőinek listája volt. Az illetéktelen résztvevők mobil résztvevőként láthatók lennének az értekezlet résztvevőinek listáján. Más szavakkal, az összes ember jelenléte kimutatható, de az adminisztrátor feladata, hogy a jogosulatlan személyek azonosítása érdekében összehasonlítsa a listát az arra felhatalmazott személyekkel. Ha nem észlelik, a támadó könnyen lehallgathatja a potenciálisan titkos vagy kritikus üzleti találkozó részleteit ThreatPost .
A Cisco termékbiztonsági incidensekkel foglalkozó válaszcsoportja a Webex biztonsági rését javítja:
A Cisco Systems nemrégiben felfedezett és javított egy biztonsági hibát 10-ből 7,5-es CVSS-ponttal. Egyébként a biztonsági sebezhetőség, amelyet hivatalosan a CVE-2020-3142 , egy másik Cisco TAC támogatási ügy belső vizsgálata és megoldása során találtak. A Cisco hozzátette, hogy nincsenek megerősített jelentések a hiba kitettségéről vagy kihasználásáról: 'A Cisco termékbiztonsági incidensekkel foglalkozó reagálási csoportjának (PSIRT) nincs tudomása a jelen tanácsadásban ismertetett biztonsági rés nyilvános bejelentéséről.'
A Webex hiba lehetővé tette, hogy bárki csatlakozzon privát online találkozókhoz - jelszó nem szükséges https://t.co/F9rQ4UA2Mm pic.twitter.com/7uftEBe15T
- Graham Cluley (@gcluley) 2020. január 26
A sérülékeny Cisco Systems Webex videokonferencia platformok a Cisco Webex Meetings Suite webhelyek és a Cisco Webex Meetings Online webhelyek voltak a 39.11.5 (az előbbi) és a 40.1.3 (utóbbi esetében) korábbi verziókhoz. A Cisco javította a biztonsági rést a 39.11.5 és újabb verziókban, a Cisco Webex Meetings Suite webhelyeket és a Cisco Webex Meetings Online webhelyek 40.1.3 és újabb verzióit javítják.
Címkék Cisco