Cisco
En säkerhetsfel inom den populära Webex-videokonferensplattformen gjorde det möjligt för obehöriga eller obehöriga användare att delta i privata online-möten. Ett sådant allvarligt hot mot integriteten och porten till potentiellt framgångsrika spioneringsförsök patchades av Webex-moderbolaget Cisco Systems.
Ett annat kryphål upptäckt och därefter lappat av Cisco Systems tillät alla obehöriga främlingar att smyga in i virtuella och privata möten, även de som är skyddade med lösenord och avlyssning. De enda komponenterna som behövdes för att lyckas dra av hacket eller attacken var mötes-ID och en Webex-mobilapp.
Cisco Systems upptäcker säkerhetsproblem i Webex-videokonferenser med allvarlighetsgrad på 7,5:
Säkerhetsfelet inom Webex kan utnyttjas av en fjärranfallare utan att behöva någon form av autentisering, indikerade Cisco. En angripare skulle bara behöva mötes-ID och en Webex-mobilapp. Intressant nog kan både iOS- och Android-mobilapplikationer för Webex användas för att starta attacken, meddelade Cisco i en Fredagsrådgivning ,
”En obehörig deltagare kan utnyttja denna sårbarhet genom att komma åt ett känt mötes-ID eller mötes-URL från den mobila enhetens webbläsare. Webbläsaren kommer sedan att begära att starta enhetens Webex-mobilapp. Därefter kan interloper komma åt det specifika mötet via den mobila Webex-appen, inget lösenord krävs. ”
RT hotpost: A #Cisco fel kan tillåta en fjärr, obehörig angripare att delta i ett lösenordsskyddat videokonferensmöte. #ICYMI https://t.co/gbNkUyOYN9
- Meadow Mountain Tech (@meadowmttech) 26 januari 2020
Cisco har räknat ut orsaken till felet. ”Sårbarheten beror på oavsiktlig exponering för mötesinformation i ett specifikt mötesflöde för mobilapplikationer. En obehörig deltagare kan utnyttja denna sårbarhet genom att komma åt ett känt mötes-ID eller mötes-URL från den mobila enhetens webbläsare. ”
Den enda aspekten som skulle ha avslöjat avlyssnaren var listan över deltagare i det virtuella mötet. De obehöriga deltagarna skulle vara synliga i deltagarlistan för mötet som en mobil deltagare. Med andra ord kan närvaron av alla människor upptäckas, men det är för administratören att stämma listan mot auktoriserad personal för att identifiera obehöriga personer. Om det inte upptäcks kan en angripare enkelt avlyssna potentiellt hemliga eller kritiska detaljer om affärsmöten, rapporterade ThreatPost .
Ciscos produktsäkerhetshändelsesteam korrigerar sårbarhet i Webex:
Cisco Systems upptäckte nyligen och lappade en säkerhetsfel med en CVSS-poäng på 7,5 av 10. För övrigt spåras säkerhetsproblemet officiellt som CVE-2020-3142 , hittades under en intern utredning och resolution för ett annat Cisco TAC-supportärende. Cisco har lagt till att det inte finns några bekräftade rapporter om exponeringen eller utnyttjandet av felet. 'Cisco Product Security Incident Response Team (PSIRT) känner inte till några offentliga meddelanden om sårbarheten som beskrivs i denna rådgivning.'
Webex-felet tillät någon att gå med i privata online-möten - inget lösenord krävs https://t.co/F9rQ4UA2Mm pic.twitter.com/7uftEBe15T
- Graham Cluley (@gcluley) 26 januari 2020
De sårbara Cisco Systems Webex-videokonferensplattformarna var Cisco Webex Meetings Suite-webbplatser och Cisco Webex Meetings Online-webbplatser för versioner tidigare än 39.11.5 (för tidigare) och 40.1.3 (för senare). Cisco fixade sårbarheten i version 39.11.5 och senare, Cisco Webex Meetings Suite-webbplatser och Cisco Webex Meetings Online-webbplatser version 40.1.3 och senare är patchade.
Taggar Cisco
