Cisco
Un defect de securitate în cadrul popularei platforme Webex Video Conferencing a permis utilizatorilor neautorizați sau neautentificați să se alăture întâlnirilor private online. O astfel de amenințare gravă pentru confidențialitate și poarta către tentative de spionaj potențial reușite a fost reparată de compania mamă Webex, Cisco Systems.
O altă lacună descoperită și ulterior reparată de Cisco Systems a permis oricărui necunoscut neautorizat să se strecoare în cadrul întâlnirilor virtuale și private, chiar și în cele protejate prin parolă și să ascultă. Singurele componente necesare pentru a elimina cu succes hack-ul sau atacul au fost ID-ul întâlnirii și o aplicație mobilă Webex.
Cisco Systems descoperă o vulnerabilitate de securitate în conferințele video Webex cu o severitate de 7,5:
Defecțiunea de securitate din cadrul Webex ar putea fi exploatată de un atacator la distanță fără a fi nevoie de niciun fel de autentificare, a indicat Cisco. Un atacator ar avea nevoie doar de ID-ul întâlnirii și de o aplicație mobilă Webex. Interesant este că atât aplicațiile mobile iOS, cât și cele Android pentru Webex ar putea fi folosite pentru lansarea atacului, a notificat Cisco într-un Consultanță de vineri ,
„Un participant neautorizat ar putea exploata această vulnerabilitate accesând un ID de întâlnire cunoscut sau o adresă URL de întâlnire din browserul web al dispozitivului mobil. Browserul va solicita apoi lansarea aplicației mobile Webex a dispozitivului. Apoi, interloperul poate accesa întâlnirea specifică prin intermediul aplicației mobile Webex, nu este necesară o parolă. ”
RT amenințare: A #Cisco un defect ar putea permite unui atacator la distanță, neautentificat, să participe la o întâlnire de conferință video protejată prin parolă. #ICYMI https://t.co/gbNkUyOYN9
- Meadow Mountain Tech (@meadowmttech) 26 ianuarie 2020
Cisco a descoperit cauza principală a defectului. „Vulnerabilitatea se datorează expunerii neintenționate a informațiilor de întâlnire într-un anumit flux de întâlniri pentru aplicații mobile. Un participant neautorizat ar putea exploata această vulnerabilitate accesând un ID de întâlnire cunoscut sau o adresă URL de întâlnire din browserul web al dispozitivului mobil. ”
Singurul aspect care l-ar fi expus pe ascultător a fost lista participanților la întâlnirea virtuală. Participanții neautorizați vor fi vizibili în lista participanților la întâlnire ca participanți mobili. Cu alte cuvinte, prezența tuturor persoanelor poate fi detectată, dar este sarcina administratorului să identifice lista cu personalul autorizat pentru a identifica persoanele neautorizate. Dacă nu va fi detectat, un atacator ar putea asculta cu ușurință detalii despre întâlnirile de afaceri potențial secrete sau critice, a raportat ThreatPost .
Cisco Product Security Incident Response Team remediază vulnerabilitatea în Webex:
Cisco Systems a descoperit recent și a remediat un defect de securitate cu un scor CVSS de 7,5 din 10. De altfel, vulnerabilitatea de securitate, urmărită oficial ca CVE-2020-3142 , a fost găsit în timpul unei anchete și rezoluții interne pentru un alt caz de asistență Cisco TAC. Cisco a adăugat că nu există rapoarte confirmate despre expunerea sau exploatarea defectului, „Echipa de răspuns la incidente de securitate a produselor Cisco (PSIRT) nu este conștientă de niciun anunț public de vulnerabilitate descris în acest aviz.”
Defecțiunea Webex a permis oricui să se alăture întâlnirilor private online - nu este necesară o parolă https://t.co/F9rQ4UA2Mm pic.twitter.com/7uftEBe15T
- Graham Cluley (@gcluley) 26 ianuarie 2020
Platformele vulnerabile de conferințe video Cisco Systems Webex au fost site-urile Cisco Webex Meetings Suite și site-urile Cisco Webex Meetings Online pentru versiuni anterioare 39.11.5 (pentru prima) și 40.1.3 (pentru cea de-a doua). Cisco a remediat vulnerabilitatea în versiunile 39.11.5 și versiunile ulterioare, site-urile Cisco Webex Meetings Suite și site-urile Cisco Webex Meetings Online versiunea 40.1.3 și versiunile ulterioare sunt corecționate.
Etichete Cisco
