Die beliebte Sicherheitslücke der Cisco Webex-Videokonferenzplattform ermöglichte es nicht authentifizierten Benutzern, an privaten Online-Meetings teilzunehmen
Eine Sicherheitslücke innerhalb der beliebten Webex-Videokonferenzplattform ermöglichte es nicht autorisierten oder nicht authentifizierten Benutzern, an privaten Online-Meetings teilzunehmen. Eine solche ernsthafte Bedrohung für die Privatsphäre und das Tor zu potenziell erfolgreichen Spionageversuchen wurde von der Webex-Muttergesellschaft Cisco Systems behoben.
Eine weitere Lücke, die von Cisco Systems entdeckt und anschließend behoben wurde, ermöglichte es jedem nicht autorisierten Fremden, sich in virtuelle und private Besprechungen zu schleichen, auch in solche, die durch ein Passwort geschützt sind, und zu lauschen. Die einzigen Komponenten, die benötigt wurden, um den Hack oder Angriff erfolgreich durchzuführen, waren die Besprechungs-ID und eine mobile Webex-Anwendung.
Cisco Systems entdeckt Sicherheitslücke in Webex-Videokonferenzen mit einem Schweregrad von 7,5:
Die Sicherheitslücke in Webex könnte von einem Angreifer aus der Ferne ausgenutzt werden, ohne dass eine Authentifizierung erforderlich wäre, so Cisco. Ein Angreifer benötigt lediglich die Besprechungs-ID und eine mobile Webex-Anwendung. Interessanterweise könnten sowohl die mobilen iOS- als auch die Android-Anwendungen für Webex verwendet werden, um den Angriff zu starten.
„Ein nicht autorisierter Teilnehmer kann diese Sicherheitsanfälligkeit ausnutzen, indem er über den Webbrowser des Mobilgeräts auf eine bekannte Besprechungs-ID oder Besprechungs-URL zugreift. Der Browser fordert Sie dann auf, die Webex-Mobilanwendung des Geräts zu starten. Als nächstes kann der Eindringling über die mobile Webex-App auf das jeweilige Meeting zugreifen, ohne dass ein Passwort erforderlich ist. “
Cisco hat die Grundursache des Fehlers herausgefunden. „Die Sicherheitsanfälligkeit ist auf die unbeabsichtigte Offenlegung von Besprechungsinformationen in einem bestimmten Besprechungs-Join-Flow für mobile Anwendungen zurückzuführen. Ein nicht autorisierter Teilnehmer kann diese Sicherheitsanfälligkeit ausnutzen, indem er über den Webbrowser des Mobilgeräts auf eine bekannte Besprechungs-ID oder Besprechungs-URL zugreift. "
Der einzige Aspekt, der den Lauscher entlarvt hätte, war die Liste der Teilnehmer an der virtuellen Besprechung. Die nicht autorisierten Teilnehmer werden in der Teilnehmerliste des Meetings als mobile Teilnehmer angezeigt. Mit anderen Worten, die Anwesenheit aller Personen kann erkannt werden. Es ist jedoch Sache des Administrators, die Liste mit autorisiertem Personal abzugleichen, um nicht autorisierte Personen zu identifizieren. Wenn er unentdeckt bleibt, könnte ein Angreifer leicht potenziell geheime oder kritische Geschäftsbesprechungsdetails belauschen, berichtete ThreatPost.
Das Cisco Product Security Incident Response Team behebt die Sicherheitsanfälligkeit in Webex:
Cisco Systems hat kürzlich eine Sicherheitslücke mit einem CVSS-Wert von 7,5 von 10 entdeckt und behoben. Übrigens wurde die Sicherheitslücke, die offiziell als CVE-2020-3142 verfolgt wird, bei einer internen Untersuchung und Lösung für einen anderen Cisco TAC-Supportfall festgestellt. Cisco hat hinzugefügt, dass es keine bestätigten Berichte über die Aufdeckung oder Ausnutzung des Fehlers gibt. "Dem Cisco Product Security Incident Response Team (PSIRT) sind keine öffentlichen Ankündigungen der in diesem Hinweis beschriebenen Sicherheitsanfälligkeit bekannt."
Die anfälligen Webex-Videokonferenzplattformen von Cisco Systems waren Cisco Webex Meetings Suite-Sites und Cisco Webex Meetings Online-Sites für Versionen vor 39.11.5 (für die ersteren) und 40.1.3 (für die letzteren). Cisco hat die Sicherheitsanfälligkeit in den Versionen 39.11.5 und höher behoben. Die Websites der Cisco Webex Meetings Suite und der Cisco Webex Meetings Online-Websites der Version 40.1.3 und höher wurden gepatcht.