Популарни недостатак безбедности популарне платформе Цисцо Вебек за видео конференције дозвољава неовлашћеним корисницима да се придруже приватним мрежним састанцима

Цисцо

Безбедносни пропуст у популарној платформи Вебек за видео конференције омогућио је неовлашћеним или неовлашћеним корисницима да се придруже приватним мрежним састанцима. Тако озбиљну претњу приватности и пролаз потенцијално успешним покушајима шпијунаже закрпила је матична компанија Вебек, Цисцо Системс.

Још једна рупа коју је открио и накнадно закрпио Цисцо Системс омогућила је неовлашћеном странцу да се ушуња у виртуелне и приватне састанке, чак и оне заштићене лозинком, и прислушкује. Једине компоненте потребне за успешно извођење хакова или напада били су ИД састанка и мобилна апликација Вебек.

Цисцо Системс открио безбедносну рањивост у Вебек видео конференцијама са оценом озбиљности од 7,5:

Даљински нападач би могао искористити сигурносну ману у Вебеку без потребе за било каквом аутентификацијом, указао је Цисцо. Нападачу би били потребни само ИД састанка и Вебек мобилна апликација. Занимљиво је да се и иОС и Андроид мобилне апликације за Вебек могу користити за покретање напада, обавестио је Цисцо у Петак саветодавни ,

„Неовлашћени учесник може да искористи ову рањивост приступањем познатом ИД-у састанка или УРЛ-у састанка из веб прегледача мобилног уређаја. Тада ће прегледач затражити покретање мобилне апликације Вебек на уређају. Даље, интерлопер може приступити одређеном састанку путем мобилне апликације Вебек, без потребе за лозинком. “

РТ претња: А. #Цисцо мана би могла омогућити удаљеном, неаутентификованом нападачу да уђе на састанак видео конференције заштићен лозинком. #ИЦИМИ хттпс://т.цо/гбНкУиОИН9

- Меадов Моунтаин Тецх (@меадовмттецх) 26. јануара 2020

Цисцо је открио основни узрок недостатка. „Рањивост је настала услед ненамерног излагања информацијама са састанка у одређеном току придруживања састанка за мобилне апликације. Неовлашћени учесник може да искористи ову рањивост приступањем познатом ИД састанка или УРЛ-у састанка из веб прегледача мобилног уређаја. “

Једини аспект који би разоткрио прислушкивача био је списак присутних на виртуелном састанку. Неовлашћени учесници би били видљиви на листи учесника састанка као мобилни учесници. Другим речима, може се открити присуство свих људи, али на администратору је да сабере списак овлашћеног особља ради идентификовања неовлашћених особа. Ако га не открију, нападач би лако могао прислушкивати потенцијално тајне или критичне детаље пословног састанка, пријављене ТхреатПост .

Тим за одговор на инциденте са безбедносним производима закрпио је рањивост у Вебеку:

Цисцо Системс је недавно открио и исправио сигурносну ману са ЦВСС резултатом 7,5 од 10. Узгред, сигурносна рањивост, званично праћена као ЦВЕ-2020-3142 , пронађено је током интерне истраге и решавања за још један случај подршке за Цисцо ТАЦ. Цисцо је додао да нема потврђених извештаја о излагању или искоришћавању недостатка, „Тим за одговор на инциденте у вези са безбедношћу производа (ПСИРТ) није упознат ни са једном јавном најавом рањивости која је описана у овом упутству.“

Вебекова мана је дозволила свима да се придруже приватним мрежним састанцима - није потребна лозинка хттпс://т.цо/Ф9рК4УА2Мм пиц.твиттер.цом/7уфтЕБе15Т

- Грахам Цлулеи (@гцлулеи) 26. јануара 2020

Рањиве платформе за видео конференције Цисцо Системс Вебек биле су веб локације Цисцо Вебек Меетингс Суите и Цисцо Вебек Меетингс Онлине локације за верзије раније од 39.11.5 (за прву) и 40.1.3 (за друге). Цисцо је отклонио рањивост у верзијама 39.11.5 и новијим, веб локације Цисцо Вебек Меетингс Суите и Цисцо Вебек Меетингс Онлине странице верзије 40.1.3 и новије су закрпљене.