Η Cisco επιδιόρθωσε σήμερα τρια κενά ασφαλείας στο Webex Meetings που επέτρεπαν σε μη εξουσιοδοτημένους απομακρυσμένους εισβολείς να συμμετάσχουν σε συναντήσεις σαν συμμετέχοντες φαντάσματα.
Το Cisco Webex είναι ένα διαδικτυακό λογισμικό συσκέψεων και τηλεδιάσκεψης που μπορεί να χρησιμοποιηθεί για τον προγραμματισμό και τη συμμετοχή συναντήσεων. Παρέχει στους χρήστες δυνατότητες παρουσίασης, κοινής χρήσης οθόνης και εγγραφής.
Η πλατφόρμα απομακρυσμένων συσκέψεων της Cisco σημείωσε αύξηση της χρήσης κατά 451% σε διάστημα τεσσάρων μηνών λόγω της πανδημίας του COVID-19, και φιλοξενούνται περίπου 4 εκατομμύρια συναντήσεις τη μέρα για 324 εκατομμύρια χρήστες στο απόγειό της.
Οι κακόβουλοι χρήστες που έκαναν κατάχρηση των διορθωμένων κενών ασφαλείας θα μπορούσαν να γίνουν χρήστες “φαντάσματα” και μπορούσαν να συμμετάσχουν σε μια συνάντηση χωρίς να εντοπιστούν, όπως ανακάλυψαν οι ερευνητές της IBM ενώ ανέλυαν το εργαλείο συνεργασίας της Cisco για ευπάθειες.
“Ghost” χρήστες είναι οι συμμετέχοντες σε μια σύσκεψη που δεν είναι ορατοί στη λίστα των χρηστών και δεν είχουν προσκληθεί στη σύσκεψη, αλλά μπορούν να ακούσουν, να μιλήσουν και να μοιραστούν στη συνάντηση.
Τα τρία σφάλματα επέτρεψαν επίσης στους επιτιθέμενους να παραμείνουν στη σύσκεψη Webex και να διατηρήσουν μια αμφίδρομη σύνδεση ήχου ακόμα και μετά την αφαίρεση τους από τους διαχειριστές είχαν πρόσβαση στις πληροφορίες των χρηστών του Webex, όπως σε διευθύνσεις email και διευθύνσεις IP από την “αίθουσα” συσκέψεων.
Οι ερευνητές της IBM έδωσαν τα παρακάτω σφάλματα που επέτρεπαν στους εισβολείς να:
- Λάβουν μέρος σε μια σύσκεψη Webex ως “Ghost” χωρίς να εμφανίζεται στη λίστα συμμετεχόντων με πλήρη πρόσβαση σε δυνατότητες ήχου, βίντεο, συνομιλίας και κοινής χρήσης οθόνης (CVE-2020-3419)
- Μείνουν σε μια συνάντηση Webex ως “Ghost” ακόμα κι αν αποβληθούν από αυτήν, διατηρώντας τη σύνδεση ήχου (CVE-2020-3471)
- Αποκτήσουν πρόσβαση σε πληροφορίες για τους συμμετέχοντες στη σύσκεψη – πλήρη ονόματα, διευθύνσεις ηλεκτρονικού ταχυδρομείου και διευθύνσεις IP ακόμη και χωρίς να γίνουν δεκτοί στην κλήση (CVE-2020-3441)
Η Cisco συνιστά στους χρήστες να κάνουν άμεση ενημέρωση στην τελευταία έκδοση του Webex για να ασφαλίσουν τις συναντήσεις από εισβολείς που θα προσπαθούσαν να τα εκμεταλλευτούν τα παραπάνω κενά.