„Cisco“ šiandien pašalino tris „Webex Meetings“ saugos spragas, dėl kurių nuotoliniai, neautentifikuoti užpuolikai galėtų prisijungti prie vykstančių susitikimų kaip vaiduokliai.
Cisco Webex yra internetinė susitikimų ir vaizdo konferencijų programinė įranga, kurią galima naudoti susitikimams planuoti ir prie jų prisijungti. Ji taip pat suteikia vartotojams pristatymo, ekrano bendrinimo ir įrašymo funkcijas.
„Cisco Remote Meeting Platform“ peržiūrėjo failą Naudojimas padidėjo 451%. per keturis mėnesius dėl dabartinės COVID-19 pandemijos, apie 4 milijonai žaidimų apgyvendinti vos per vieną dieną 324 milijonai vartotojų jo viršūnėje.
Vaiduoklių užpuolikai Webex susitikime
Grėsmių autoriai, piktnaudžiaujantys dabar pataisytomis ydomis, gali tapti „vaiduokliais“ vartotojais, kurie gali prisijungti prie susitikimo nepastebėti, kaip IBM tyrėjai atrado, kai nuskaito „Cisco“ bendradarbiavimo įrankį ir ieškojo pažeidžiamumų.
„Vaiduoklių“ vartotojai yra susitikimo dalyviai, kurie negali būti vartotojų sąraše ir nebuvo pakviesti į susitikimą, tačiau gali klausytis, kalbėti ir dalytis medija susitikimo metu.
Visos trys klaidos taip pat leido užpuolikams likti Webex susitikime ir palaikyti dvipusį garso ryšį net po to, kai administratoriai juos pašalino ir iš fojė pasiekė Webex naudotojo informaciją, pvz., el. pašto adresus ir IP adresus. iš posėdžių salės.
Pažeidžiamumų yra „Cisco Webex Meetings“ ir „Cisco Webex Meetings Server“ ir „veikia pasinaudojant „Webex“ naudojamu rankų paspaudimo procesu, kad užmegztų ryšį tarp susitikimo dalyvių“.
Jei sėkmingai išnaudojama, IBM mokslininkai Ji pasakė kad klaidos leistų užpuolikams:
- Prisijunkite prie Webex susitikimo kaip vaiduoklis, nesimatydami dalyvių sąraše, turėdami visišką prieigą prie garso, vaizdo, pokalbių ir ekrano bendrinimo ( CVE-2020-3419 )
- Likite Webex susitikime kaip vaiduoklis po to, kai buvote išspirtas, ir palaikykite garso ryšį ( CVE-2020-3471 )
- Pasiekite susitikimo dalyvių informaciją, įskaitant visus vardus, el. pašto adresus ir IP adresus, iš posėdžių salės fojė, net ir nedalyvaujant pokalbyje ( CVE-2020-3441 )
Galimi saugos naujinimai
Tyrėjai sugebėjo sėkmingai pademonstruoti atakas, kuriomis piktnaudžiaujama šiomis Webex klaidomis Windows, MacOS ir Webex Meetings programėlių iOS versijoje bei Webex Room Kit įrenginyje.
„Cisco“ pašalino spragas pataisydama debesyje pagrįstas „Cisco Webex Meetings“ svetaines ir išleisdama vietinės programinės įrangos, pvz., „Cisco Webex Meetings“ mobiliosios programėlės ir „Cisco Webex Meetings Server“ programinės įrangos, saugos naujinimus.
Vartotojai raginami nedelsiant atnaujinti į naujausią Webex versiją, kad apsaugotų savo susitikimus nuo užpuolikų, kurie bandytų jais išnaudoti ir prisijungti kaip naudotojai vaiduokliai.
IBM tyrimų komanda taip pat pateikė demonstracinį vaizdo įrašą su išsamia informacija apie pažeidžiamumą ir patarimais, ką Webex Meetings gali padaryti, kad apsisaugotų nuo atakų.
Ką tu manai?
