Populær Cisco Webex videokonferanseplattform Sikkerhetsfeil tillot uautentiserte brukere å delta på private online møter
En sikkerhetsfeil i den populære Webex videokonferanseplattformen tillot uautoriserte eller uautoriserte brukere å delta på private online møter. En slik alvorlig trussel mot personvernet og inngangsporten til potensielt vellykkede spioneringsforsøk ble lappet av morselskapet Webex, Cisco Systems.
Et annet smutthull oppdaget og deretter lappet av Cisco Systems tillot enhver uautorisert fremmed å snike seg inn i virtuelle og private møter, til og med de som er beskyttet av passord og avlytting. De eneste komponentene som trengs for å kunne hakke hacket eller angrepet, var møte-ID-en og en Webex-mobilapplikasjon.
Cisco Systems oppdager sikkerhetsproblemer i Webex-videokonferanser med alvorlighetsgrad på 7,5:
Sikkerhetsfeilen i Webex kan utnyttes av en ekstern angriper uten å trenge noen form for godkjenning, angitt Cisco. En angriper trenger bare møte-ID-en og en Webex-mobilapplikasjon. Interessant, både iOS- og Android-mobilapplikasjoner for Webex kan brukes til å starte angrepet, varslet Cisco i fredagsrådgivning,
“En uautorisert deltaker kan utnytte dette sikkerhetsproblemet ved å få tilgang til en kjent møte-ID eller møte-URL fra den mobile enhetens nettleser. Nettleseren vil da be om å starte enhetens Webex-mobilapp. Deretter kan interloper få tilgang til det spesifikke møtet via den mobile Webex-appen, uten passord. ”
Cisco har funnet ut årsaken til feilen. "Sårbarheten skyldes utilsiktet eksponering av møteinformasjon i en bestemt møteflyt for mobilapplikasjoner. En uautorisert deltaker kan utnytte dette sikkerhetsproblemet ved å få tilgang til en kjent møte-ID eller møte-URL fra mobilenhetens nettleser. "
Det eneste aspektet som ville ha avslørt avlytteren var listen over deltakere i det virtuelle møtet. De uautoriserte deltakerne vil være synlige i deltakerlisten til møtet som en mobil deltaker. Med andre ord kan tilstedeværelsen av alle menneskene oppdages, men det er for administratoren å stemme opp listen mot autorisert personell for å identifisere uvedkommende. Hvis det ikke blir oppdaget, kan en angriper lett høre på potensielt hemmelighetsfulle eller kritiske detaljer om forretningsmøter, rapporterte ThreatPost.
Ciscos produktsikkerhetshendelsesteam oppdaterer sikkerhetsproblem i Webex:
Cisco Systems oppdaget nylig og lappet en sikkerhetsfeil med en CVSS-score på 7,5 av 10. For øvrig ble sikkerhetsproblemet, offisielt sporet som CVE-2020-3142, funnet under en intern etterforskning og løsning for en annen Cisco TAC-støttesak. Cisco har lagt til at det ikke er noen bekreftede rapporter om eksponering eller utnyttelse av feilen. "Cisco Product Security Incident Response Team (PSIRT) er ikke kjent med noen offentlige kunngjøringer om sårbarheten som er beskrevet i denne veiledningen."
De sårbare Cisco Systems Webex videokonferanseplattformene var Cisco Webex Meetings Suite-nettsteder og Cisco Webex Meetings Online-nettsteder for versjoner tidligere enn 39.11.5 (for førstnevnte) og 40.1.3 (for sistnevnte). Cisco løste sikkerhetsproblemet i versjoner 39.11.5 og nyere, Cisco Webex Meetings Suite-nettsteder og Cisco Webex Meetings Online-nettsteder versjon 40.1.3 og nyere er lappet.