„Cisco“
Saugumo trūkumas populiarioje „Webex“ vaizdo konferencijų platformoje leido neįgaliotiems ar neautentifikuotiems vartotojams prisijungti prie privačių internetinių susitikimų. Tokią rimtą grėsmę privatumui ir potencialiai sėkmingų šnipinėjimo bandymų vartus užtaisė pagrindinė „Webex“ bendrovė „Cisco Systems“.
Dar viena „Cisco Systems“ aptikta ir vėliau užtaisyta spraga leido bet kuriam pašaliniam asmeniui, net ir slaptažodžiu apsaugotiems, įsilaužti į virtualius ir privačius susitikimus, net ir tuos, kurie buvo apsaugoti slaptažodžiu. Vieninteliai komponentai, reikalingi norint sėkmingai įsilaužti ar užpulti, buvo susitikimo ID ir „Webex“ mobilioji programa.
„Cisco Systems“ nustato „Webex“ vaizdo konferencijų saugumo pažeidžiamumą, kurio sunkumo laipsnis yra 7,5:
„Cisco“ nurodė, kad nuotolinis užpuolikas gali išnaudoti „Webex“ saugumo trūkumą nuotolinio užpuoliko. Užpuolikui tereikia susitikimo ID ir „Webex“ programos mobiliesiems. Įdomu tai, kad atakai pradėti gali būti naudojamos tiek „iOS“, tiek „Android“ mobiliosios programos, skirtos „Webex“, pranešė „Cisco“ a Penktadienio patarimas ,
„Neteisėtas dalyvis galėtų pasinaudoti šia spraga pasiekdamas žinomą susitikimo ID arba susitikimo URL iš mobiliojo įrenginio žiniatinklio naršyklės. Tada naršyklė paprašys paleisti įrenginio „Webex“ programą mobiliesiems. Tada sąveikininkas gali pasiekti konkretų susitikimą naudodamasis mobiliąja „Webex“ programa, nereikia slaptažodžio. “
RT grėsmės postas: A #Cisco trūkumas gali leisti nuotoliniam, neautentifikuotam užpuolikui dalyvauti slaptažodžiu apsaugotame vaizdo konferencijų susitikime. #ICYMI https://t.co/gbNkUyOYN9
- „Meadow Mountain Tech“ (@meadowmttech) 2020 m. Sausio 26 d
„Cisco“ išsiaiškino pagrindinę trūkumo priežastį. „Pažeidžiamumas atsiranda dėl nenumatyto susitikimų informacijos poveikio konkrečiame susitikimo prisijungime prie mobiliųjų programų srauto. Neteisėtas dalyvis galėtų pasinaudoti šia spraga pasiekdamas žinomą susitikimo ID arba susitikimo URL iš mobiliojo įrenginio žiniatinklio naršyklės. “
Vienintelis aspektas, kuris būtų atskleidęs pasiklausytoją, buvo virtualaus susitikimo dalyvių sąrašas. Neautorizuoti dalyviai bus matomi susirinkimo dalyvių sąraše kaip mobilūs dalyviai. Kitaip tariant, galima aptikti visų žmonių buvimą, tačiau administratorius turi palyginti sąrašą su įgaliotais darbuotojais, kad nustatytų pašalinius asmenis. Nepastebėtas užpuolikas gali lengvai pasiklausyti potencialiai slaptų ar kritiškų verslo susitikimų detalių, pranešė „ThreatPost“ .
„Cisco“ gaminio saugumo incidentų atsako komanda pataiso „Webex“ pažeidžiamumą:
„Cisco Systems“ neseniai aptiko ir užtaisė saugumo trūkumą su CVSS balu 7,5 iš 10. Beje, saugumo pažeidžiamumas, oficialiai stebimas kaip CVE-2020-3142 , buvo rastas atliekant vidaus tyrimą ir išsprendus kitą „Cisco“ TAC palaikymo bylą. „Cisco“ pridūrė, kad nėra patvirtintų pranešimų apie trūkumo atskleidimą ar išnaudojimą: „„ Cisco “produktų saugumo incidentų reagavimo komanda (PSIRT) nežino jokių viešų pranešimų apie šiame patarime aprašytą pažeidžiamumą“.
„Webex“ trūkumas leido bet kam prisijungti prie privačių internetinių susitikimų - nereikia slaptažodžio https://t.co/F9rQ4UA2Mm pic.twitter.com/7uftEBe15T
- Graham Cluley (@gcluley) 2020 m. Sausio 26 d
Pažeidžiamos „Cisco Systems Webex“ vaizdo konferencijų platformos buvo „Cisco Webex Meetings Suite“ svetainės ir „Cisco Webex Meetings Online“ svetainės, skirtos ankstesnėms nei 39.11.5 (pirmosioms) ir 40.1.3 (pastarosioms) versijoms. „Cisco“ pašalino pažeidžiamumą 39.11.5 ir vėlesnėse versijose, „Cisco Webex Meetings Suite“ svetainėse ir „Cisco Webex Meetings Online“ svetainių 40.1.3 ir vėlesnėse versijose yra pataisyta.
Žymos „Cisco“
