Popüler Cisco Webex Video Konferans Platformu Güvenlik Kusuru Kimliği Doğrulanmamış Kullanıcıların Özel Çevrimiçi Toplantılara Katılmasına İzin Verildi
Popüler Webex Video Konferans platformundaki bir güvenlik açığı, yetkisiz veya kimliği doğrulanmamış kullanıcıların özel çevrimiçi toplantılara katılmasına izin verdi. Gizliliğe yönelik böylesine ciddi bir tehdit ve potansiyel olarak başarılı casusluk girişimlerine ağ geçidi, Webex ana şirketi Cisco Systems tarafından yamalandı.
Cisco Systems tarafından keşfedilen ve ardından yamalanan başka bir boşluk, yetkisiz herhangi bir yabancının, parola ve gizlice korunanlar dahil sanal ve özel toplantılara gizlice girmesine izin verdi. Saldırı veya saldırıyı başarılı bir şekilde kaldırmak için gereken tek bileşen, toplantı kimliği ve bir Webex mobil uygulamasıydı.
Cisco Systems, 7,5 Önem Derecesi ile Webex Video Konferansında Güvenlik Açığını Keşfedin:
Cisco, Webex içindeki güvenlik açığının herhangi bir kimlik doğrulamasına ihtiyaç duymadan uzaktaki bir saldırgan tarafından istismar edilebileceğini belirtti. Bir saldırgan yalnızca toplantı kimliğine ve bir Webex mobil uygulamasına ihtiyaç duyar. İlginç bir şekilde, saldırıyı başlatmak için Webex için hem iOS hem de Android mobil uygulamalarının kullanılabileceği, Cisco'ya Cuma günü bir tavsiye verdi,
"Yetkisiz bir katılımcı, mobil cihazın web tarayıcısından bilinen bir toplantı kimliğine veya toplantı URL'sine erişerek bu güvenlik açığından yararlanabilir. Tarayıcı daha sonra cihazın Webex mobil uygulamasını başlatmayı isteyecektir. Daha sonra birlikte çalışan, mobil Webex uygulaması aracılığıyla belirli toplantıya parola gerekmeden erişebilir. "
Cisco, kusurun temel nedenini buldu. "Güvenlik açığı, mobil uygulamalar için belirli bir toplantıya katılma akışında istenmeyen toplantı bilgilerinin açığa çıkmasından kaynaklanıyor. Yetkisiz bir katılımcı, mobil cihazın web tarayıcısından bilinen bir toplantı kimliğine veya toplantı URL'sine erişerek bu güvenlik açığından yararlanabilir. "
Kulak misafiri olan kişiyi açığa çıkaracak tek husus, sanal toplantıya katılanların listesiydi. Yetkisiz katılımcılar, toplantının katılımcı listesinde mobil katılımcı olarak görünecektir. Başka bir deyişle, tüm kişilerin varlığı tespit edilebilir, ancak yetkisiz kişileri tespit etmek için listeyi yetkili personele karşı hesaplamak yöneticiye aittir. ThreatPost, tespit edilmezse, bir saldırganın potansiyel olarak gizli veya kritik iş toplantısı ayrıntılarını kolayca dinleyebileceğini bildirdi.
Cisco Ürün Güvenliği Olay Müdahale Ekibi, Webex'teki Güvenlik Açığını Düzeltiyor:
Cisco Systems kısa süre önce CVSS puanı 10 üzerinden 7,5 olan bir güvenlik açığını keşfetti ve yamadı. Bu arada, resmi olarak CVE-2020-3142 olarak izlenen güvenlik açığı, başka bir Cisco TAC destek vakası için dahili bir araştırma ve çözümleme sırasında bulundu. Cisco, kusurun açığa çıkması veya kötüye kullanılmasıyla ilgili doğrulanmış bir rapor bulunmadığını ekledi, "Cisco Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), bu danışma belgesinde açıklanan güvenlik açığına ilişkin genel duyurulardan haberdar değil."
Savunmasız Cisco Systems Webex Video Konferans platformları, 39.11.5 (eski için) ve 40.1.3'ten (ikincisi için) önceki sürümler için Cisco Webex Meetings Suite siteleri ve Cisco Webex Meetings Online siteleriydi. Cisco, 39.11.5 ve sonraki sürümlerdeki güvenlik açığını giderdi, Cisco Webex Meetings Suite siteleri ve Cisco Webex Meetings Online siteleri sürüm 40.1.3 ve sonraki sürümlere yama uygulandı.
