Populair beveiligingsprobleem Cisco Webex-videoconferentieplatform toegestaan niet-geverifieerde gebruikers om deel te nemen aan privé onlinevergaderingen
Door een beveiligingsfout in het populaire Webex Video Conferencing-platform konden ongeautoriseerde of niet-geauthenticeerde gebruikers deelnemen aan privé onlinevergaderingen. Zo'n ernstige bedreiging voor de privacy en de toegangspoort tot mogelijk succesvolle spionagepogingen werd gepatcht door het moederbedrijf van Webex, Cisco Systems.
Een andere maas in de wet die werd ontdekt en vervolgens door Cisco Systems werd gepatcht, stelde elke onbevoegde vreemdeling in staat om virtuele en privévergaderingen binnen te sluipen, zelfs degenen die met een wachtwoord zijn beveiligd, en afluisteren. De enige componenten die nodig waren om de hack of aanval met succes uit te voeren, waren de vergaderings-ID en een mobiele Webex-applicatie.
Cisco Systems ontdekt beveiligingskwetsbaarheid in Webex-videoconferenties met een ernstclassificatie van 7,5:
De beveiligingsfout in Webex kan worden misbruikt door een externe aanvaller zonder enige vorm van authenticatie, aldus Cisco. Een aanvaller heeft alleen de vergader-ID en een mobiele Webex-applicatie nodig. Interessant is dat zowel de mobiele iOS- als Android-applicaties voor Webex kunnen worden gebruikt om de aanval te lanceren, meldde Cisco in een advies op vrijdag,
"Een ongeautoriseerde deelnemer kan misbruik maken van dit beveiligingslek door een bekende vergaderings-ID of vergaderings-URL te openen vanuit de webbrowser van het mobiele apparaat. De browser vraagt vervolgens om de mobiele Webex-app van het apparaat te starten. Vervolgens heeft de indringer toegang tot de specifieke vergadering via de mobiele Webex-app, zonder wachtwoord. "
Cisco heeft de oorzaak van de fout gevonden. “De kwetsbaarheid is te wijten aan onbedoelde blootstelling van informatie over vergaderingen in een specifieke stroom voor deelname aan vergaderingen voor mobiele applicaties. Een ongeautoriseerde deelnemer kan misbruik maken van dit beveiligingslek door een bekende vergaderings-ID of vergaderings-URL te openen vanuit de webbrowser van het mobiele apparaat. "
Het enige aspect dat de afluisteraar zou hebben blootgelegd, was de lijst met deelnemers aan de virtuele vergadering. De niet-geautoriseerde deelnemers zijn zichtbaar in de deelnemerslijst van de vergadering als een mobiele deelnemer. Met andere woorden, de aanwezigheid van alle mensen kan worden gedetecteerd, maar het is aan de beheerder om de lijst te vergelijken met geautoriseerd personeel om ongeautoriseerde personen te identificeren. Als een aanvaller niet wordt opgemerkt, kan hij gemakkelijk afluisteren van mogelijk geheime of kritieke details van zakelijke vergaderingen, meldde ThreatPost.
Cisco Product Security Incident Response Team verhelpt kwetsbaarheid in Webex:
Cisco Systems heeft onlangs een beveiligingsfout ontdekt en verholpen met een CVSS-score van 7,5 op 10. Overigens werd de beveiligingslek, officieel gevolgd als CVE-2020-3142, gevonden tijdens een intern onderzoek en oplossing voor een andere Cisco TAC-ondersteuningszaak. Cisco heeft toegevoegd dat er geen bevestigde rapporten zijn over het blootleggen of misbruiken van de fout. "Het Cisco Product Security Incident Response Team (PSIRT) is niet op de hoogte van enige openbare aankondiging van de kwetsbaarheid die in dit advies wordt beschreven."
De kwetsbare Cisco Systems Webex-videoconferentieplatforms waren Cisco Webex Meetings Suite-sites en Cisco Webex Meetings Online-sites voor eerdere versies dan 39.11.5 (voor de eerste) en 40.1.3 (voor de laatste). Cisco heeft de kwetsbaarheid opgelost in versie 39.11.5 en later, de Cisco Webex Meetings Suite-sites en Cisco Webex Meetings Online-sites versie 40.1.3 en later zijn gepatcht.