Populär Cisco Webex videokonferensplattforms säkerhetsfel tillåta obehöriga användare att delta i privata online-möten
En säkerhetsfel inom den populära Webex-videokonferensplattformen gjorde det möjligt för obehöriga eller obehöriga användare att gå med i privata online-möten. Ett sådant allvarligt hot mot integriteten och porten till potentiellt framgångsrika spioneringsförsök lappades av Webex-moderbolaget Cisco Systems.
Ett annat kryphål upptäckt och därefter lappat av Cisco Systems gjorde det möjligt för alla obehöriga främlingar att smyga in i virtuella och privata möten, även de som är skyddade med lösenord och avlyssning. De enda komponenterna som behövdes för att lyckas dra av hacket eller attacken var mötes-ID och en Webex-mobilapp.
Cisco Systems upptäcker säkerhetsproblem i Webex-videokonferenser med allvarlighetsgrad på 7,5:
Säkerhetsfelet inom Webex kan utnyttjas av en fjärranfallare utan att behöva någon form av autentisering, indikerade Cisco. En angripare skulle bara behöva mötes-ID och en Webex-mobilapp. Intressant är att både iOS- och Android-mobilapplikationer för Webex kan användas för att starta attacken, meddelade Cisco i fredagsrådgivningen,
”En obehörig deltagare kan utnyttja denna sårbarhet genom att komma åt ett känt mötes-ID eller mötes-URL från den mobila enhetens webbläsare. Webbläsaren kommer sedan att begära att starta enhetens Webex-mobilapp. Därefter kan interloper komma åt det specifika mötet via den mobila Webex-appen, inget lösenord krävs. ”
Cisco har räknat ut orsaken till felet. ”Sårbarheten beror på oavsiktlig exponering för mötesinformation i ett specifikt mötesflöde för mobilapplikationer. En obehörig deltagare kan utnyttja denna sårbarhet genom att komma åt ett känt mötes-ID eller mötes-URL från den mobila enhetens webbläsare. ”
Den enda aspekten som skulle ha avslöjat avlyssnaren var listan över deltagare i det virtuella mötet. De obehöriga deltagarna skulle vara synliga i deltagarlistan för mötet som en mobil deltagare. Med andra ord kan alla folks närvaro upptäckas, men det är för administratören att stämma listan mot auktoriserad personal för att identifiera obehöriga. Om det inte upptäcks kan en angripare enkelt avlyssna potentiellt hemliga eller kritiska affärsmötesuppgifter, rapporterade ThreatPost.
Ciscos produktsäkerhetsåtgärdsgrupp korrigerar sårbarhet i Webex:
Cisco Systems upptäckte nyligen och lappade en säkerhetsfel med en CVSS-poäng på 7,5 av 10. För övrigt hittades säkerhetsproblemet, officiellt spårat som CVE-2020-3142, under en intern utredning och resolution för ett annat Cisco TAC-supportärende. Cisco har lagt till att det inte finns några bekräftade rapporter om exponeringen eller utnyttjandet av felet. "Cisco Product Security Incident Response Team (PSIRT) känner inte till några offentliga meddelanden om sårbarheten som beskrivs i denna rådgivning."
De sårbara Cisco Systems Webex-videokonferensplattformarna var Cisco Webex Meetings Suite-webbplatser och Cisco Webex Meetings Online-webbplatser för versioner tidigare än 39.11.5 (för tidigare) och 40.1.3 (för senare). Cisco fixade sårbarheten i version 39.11.5 och senare, Cisco Webex Meetings Suite-webbplatser och Cisco Webex Meetings Online-webbplatser version 40.1.3 och senare är korrigerade.