Cisco
Varnostna napaka v priljubljeni platformi za videokonference Webex je nepooblaščenim ali nepooblaščenim uporabnikom omogočala, da se pridružijo zasebnim spletnim sestankom. Tako resno grožnjo zasebnosti in prehod na potencialno uspešne vohunske poskuse je popravilo matično podjetje Webex, Cisco Systems.
Še ena vrzel, ki jo je odkril in pozneje popravil Cisco Systems, je vsem nepooblaščenim neznancem omogočila, da so se vtihotapili znotraj navideznih in zasebnih sestankov, tudi tistih, zaščitenih z geslom, in prisluškovali. Edini sestavni deli, ki so bili potrebni za uspešen kramp ali napad, so bili ID sestanka in mobilna aplikacija Webex.
Cisco Systems odkril varnostno ranljivost v videokonferencah Webex s stopnjo resnosti 7,5:
Varnostno napako v Webexu bi lahko izkoristil oddaljeni napadalec, ne da bi potreboval kakršno koli preverjanje pristnosti, je poudaril Cisco. Napadalec bi le potreboval ID sestanka in mobilno aplikacijo Webex. Zanimivo je, da se lahko za sprožitev napada uporabljata mobilni aplikaciji iOS in Android za Webex, je Cisco obvestil v Petkovo svetovanje ,
»Nepooblaščeni udeleženec bi lahko to ranljivost izkoristil tako, da bi iz spletnega brskalnika mobilne naprave dostopal do znanega ID sestanka ali URL sestanka. Nato bo brskalnik zahteval zagon mobilne aplikacije Webex v napravi. Nato lahko interloper dostopa do določenega sestanka prek mobilne aplikacije Webex, pri čemer ni potrebno geslo. '
RT grožnja: A #Cisco pomanjkljivost bi lahko oddaljenemu, neupravičenemu napadalcu omogočila vstop z geslom zaščitenega videokonference. #ICYMI https://t.co/gbNkUyOYN9
- Meadow Mountain Tech (@meadowmttech) 26. januarja 2020
Cisco je ugotovil glavni vzrok napake. »Ranljivost je posledica nenamerne izpostavljenosti informacijam o sestankih v določenem toku združevanja sestankov za mobilne aplikacije. Nepooblaščen udeleženec bi lahko to ranljivost izkoristil tako, da bi iz spletnega brskalnika mobilne naprave dostopal do znanega ID-ja sestanka ali URL-ja sestanka. «
Edini vidik, ki bi prisluškovalca razkril, je bil seznam udeležencev virtualnega sestanka. Nepooblaščeni udeleženci bi bili na seznamu udeležencev srečanja vidni kot mobilni udeleženci. Z drugimi besedami, zaznati je mogoče prisotnost vseh ljudi, vendar mora skrbnik seznamu pooblaščenega osebja določiti nepooblaščene osebe. Če ga napadalec ne zazna, bi lahko brez težav prisluhnil potencialno tajnim ali kritičnim podrobnostim poslovnega sestanka, o katerih poročajo ThreatPost .
Skupina za odzivanje na incidente z varnostjo izdelkov v Webexu odpravlja ranljivosti:
Podjetje Cisco Systems je nedavno odkrilo in odpravilo varnostno napako z oceno CVSS 7,5 od 10. Mimogrede, varnostna ranljivost, ki je uradno zasledovana kot CVE-2020-3142 , je bilo ugotovljeno med interno preiskavo in reševanjem drugega primera podpore za Cisco TAC. Cisco je dodal, da ni nobenih potrjenih poročil o izpostavljenosti ali izkoriščanju napake, 'skupina za odzivanje na varnostne incidente Cisco (PSIRT) ne pozna nobenih javnih objav o ranljivosti, ki je opisana v tem navodilu.'
Napaka Webexa je vsem omogočila, da se pridružijo zasebnim spletnim sestankom - geslo ni potrebno https://t.co/F9rQ4UA2Mm pic.twitter.com/7uftEBe15T
- Graham Cluley (@gcluley) 26. januarja 2020
Ranljive platforme za videokonference Cisco Systems Webex so bile spletna mesta Cisco Webex Meetings Suite in spletna mesta Cisco Webex Meetings Online za različice, starejše od 39.11.5 (za prve) in 40.1.3 (za druge). Cisco je ranljivost odpravil v različicah 39.11.5 in novejših, mesti Cisco Webex Meetings Suite in spletna mesta Cisco Webex Meetings Online 40.1.3 in novejši so popravljeni.
Oznake Cisco
