Cisco
Eine Sicherheitslücke innerhalb der beliebten Webex-Videokonferenzplattform ermöglichte es nicht autorisierten oder nicht authentifizierten Benutzern, an privaten Online-Meetings teilzunehmen. Eine solche ernsthafte Bedrohung für die Privatsphäre und das Tor zu potenziell erfolgreichen Spionageversuchen wurde von der Webex-Muttergesellschaft Cisco Systems behoben.
Eine weitere Lücke, die von Cisco Systems entdeckt und anschließend behoben wurde, ermöglichte es jedem nicht autorisierten Fremden, sich in virtuelle und private Besprechungen zu schleichen, auch in solche, die durch ein Passwort geschützt sind, und zu lauschen. Die einzigen Komponenten, die benötigt wurden, um den Hack oder Angriff erfolgreich durchzuführen, waren die Besprechungs-ID und eine mobile Webex-Anwendung.
Cisco Systems entdeckt Sicherheitslücke in Webex-Videokonferenzen mit einem Schweregrad von 7,5:
Die Sicherheitslücke in Webex könnte von einem Angreifer aus der Ferne ausgenutzt werden, ohne dass eine Authentifizierung erforderlich wäre, so Cisco. Ein Angreifer benötigt lediglich die Besprechungs-ID und eine mobile Webex-Anwendung. Interessanterweise könnten sowohl die mobilen iOS- als auch die Android-Anwendungen für Webex verwendet werden, um den Angriff zu starten, teilte Cisco in einem Freitag Beratung ,
„Ein nicht autorisierter Teilnehmer kann diese Sicherheitsanfälligkeit ausnutzen, indem er über den Webbrowser des Mobilgeräts auf eine bekannte Besprechungs-ID oder Besprechungs-URL zugreift. Der Browser fordert Sie dann auf, die mobile Webex-Anwendung des Geräts zu starten. Als nächstes kann der Eindringling über die mobile Webex-App auf das jeweilige Meeting zugreifen, ohne dass ein Passwort erforderlich ist. “
RT-Bedrohungsposten: A. #Cisco Ein Fehler kann dazu führen, dass ein entfernter, nicht authentifizierter Angreifer an einer kennwortgeschützten Videokonferenz teilnimmt. #ICYMI https://t.co/gbNkUyOYN9
- Meadow Mountain Tech (@meadowmttech) 26. Januar 2020
Cisco hat die Grundursache des Fehlers herausgefunden. „Die Sicherheitsanfälligkeit ist auf die unbeabsichtigte Offenlegung von Besprechungsinformationen in einem bestimmten Besprechungs-Join-Flow für mobile Anwendungen zurückzuführen. Ein nicht autorisierter Teilnehmer kann diese Sicherheitsanfälligkeit ausnutzen, indem er über den Webbrowser des Mobilgeräts auf eine bekannte Besprechungs-ID oder Besprechungs-URL zugreift. '
Der einzige Aspekt, der den Lauscher entlarvt hätte, war die Liste der Teilnehmer an der virtuellen Besprechung. Die nicht autorisierten Teilnehmer werden in der Teilnehmerliste des Meetings als mobile Teilnehmer angezeigt. Mit anderen Worten, die Anwesenheit aller Personen kann erkannt werden. Es ist jedoch Sache des Administrators, die Liste mit autorisiertem Personal abzugleichen, um nicht autorisierte Personen zu identifizieren. Wenn ein Angreifer nicht erkannt wird, kann er möglicherweise potenziell geheime oder kritische Details zu Geschäftstreffen abhören ThreatPost .
Cisco Product Security Incident Response Team behebt Sicherheitsanfälligkeit in Webex:
Cisco Systems hat kürzlich eine Sicherheitslücke entdeckt und behoben mit einem CVSS-Wert von 7,5 von 10. Übrigens wird die Sicherheitslücke offiziell als verfolgt CVE-2020-3142 wurde während einer internen Untersuchung und Lösung für einen anderen Cisco TAC-Supportfall gefunden. Cisco hat hinzugefügt, dass es keine bestätigten Berichte über die Aufdeckung oder Ausnutzung des Fehlers gibt. 'Dem Cisco Product Security Incident Response Team (PSIRT) sind keine öffentlichen Ankündigungen der in dieser Empfehlung beschriebenen Sicherheitsanfälligkeit bekannt.'
Mit dem Webex-Fehler konnte jeder an privaten Online-Meetings teilnehmen - kein Passwort erforderlich https://t.co/F9rQ4UA2Mm pic.twitter.com/7uftEBe15T
- Graham Cluley (@gcluley) 26. Januar 2020
Die anfälligen Webex-Videokonferenzplattformen von Cisco Systems waren Cisco Webex Meetings Suite-Sites und Cisco Webex Meetings Online-Sites für Versionen vor 39.11.5 (für die ersteren) und 40.1.3 (für die letzteren). Cisco hat die Sicherheitsanfälligkeit in den Versionen 39.11.5 und höher behoben. Die Websites der Cisco Webex Meetings Suite und der Cisco Webex Meetings Online-Websites der Version 40.1.3 und höher wurden gepatcht.
Stichworte Cisco
