Populær Cisco Webex-videokonferenceplatform Sikkerhedsfejl tilladt uautoriserede brugere at deltage i private online møder
En sikkerhedsfejl inden for den populære Webex-videokonference-platform tillod uautoriserede eller uautoriserede brugere at deltage i private online-møder. En sådan alvorlig trussel mod privatlivets fred og gateway til potentielt vellykkede spioneringsforsøg blev patched af Webex moderselskab, Cisco Systems.
Et andet smuthul opdaget og efterfølgende patchet af Cisco Systems tillod enhver uautoriseret fremmed at snige sig ind i virtuelle og private møder, selv dem, der er beskyttet med adgangskode og aflytning. De eneste komponenter, der var nødvendige for med succes at fjerne hacket eller angrebet, var mødets id og en Webex-mobilapplikation.
Cisco Systems opdager sikkerhedssårbarhed i Webex-videokonference med alvorlighedsvurdering på 7,5:
Sikkerhedsfejlen i Webex kunne udnyttes af en ekstern angriber uden behov for nogen form for godkendelse, angivet Cisco. En hacker ville kun have brug for mødets id og en Webex-mobilapplikation. Interessant nok kunne både iOS- og Android-mobilapplikationer til Webex bruges til at starte angrebet, underrettede Cisco i en fredagsrådgivning.
“En uautoriseret deltager kunne udnytte denne sårbarhed ved at få adgang til et kendt møde-id eller møde-URL fra mobilenhedens webbrowser. Browseren vil derefter anmode om at starte enhedens Webex-mobilapplikation. Dernæst kan interloper få adgang til det specifikke møde via den mobile Webex-app, ingen adgangskode kræves. ”
Cisco har fundet ud af årsagen til fejlen. ”Sårbarheden skyldes utilsigtet eksponering af mødeinformation i et specifikt møde-deltagelsesflow for mobilapplikationer. En uautoriseret deltager kunne udnytte denne sårbarhed ved at få adgang til et kendt møde-id eller møde-URL fra mobilenhedens webbrowser. "
Det eneste aspekt, der ville have afsløret aflytteren, var listen over deltagere i det virtuelle møde. De uautoriserede deltagere ville være synlige på deltagerlisten for mødet som en mobil deltager. Med andre ord kan tilstedeværelsen af alle mennesker detekteres, men det er op til administratoren at stemme listen mod autoriseret personale for at identificere uautoriserede personer. Hvis ikke angivet, kan en angriber let aflytte potentielt hemmeligholdte eller kritiske detaljer om forretningsmøder, rapporterede ThreatPost.
Ciscos produktsikkerhedshændelsesrespons-team opdaterer sårbarhed i Webex:
Cisco Systems opdagede for nylig og lappede en sikkerhedsfejl med en CVSS-score på 7,5 ud af 10. I øvrigt blev sikkerhedssårbarheden, officielt sporet som CVE-2020-3142, fundet under en intern undersøgelse og opløsning til en anden Cisco TAC-supportsag. Cisco har tilføjet, at der ikke er nogen bekræftede rapporter om eksponering eller udnyttelse af fejlen, "Cisco Product Security Incident Response Team (PSIRT) er ikke bekendt med nogen offentlige meddelelser om sårbarheden, der er beskrevet i denne rådgivning."
De sårbare Cisco Systems Webex-videokonference-platforme var Cisco Webex Meetings Suite-websteder og Cisco Webex Meetings Online-websteder til versioner, der var tidligere end 39.11.5 (for førstnævnte) og 40.1.3 (for sidstnævnte). Cisco løste sårbarheden i version 39.11.5 og nyere, Cisco Webex Meetings Suite-websteder og Cisco Webex Meetings Online-websteder version 40.1.3 og nyere er patched.