シスコ
人気のあるWebexビデオ会議プラットフォーム内のセキュリティ上の欠陥により、許可されていないユーザーまたは認証されていないユーザーがプライベートオンライン会議に参加できました。プライバシーに対するこのような深刻な脅威と、スパイ活動が成功する可能性のあるゲートウェイは、Webexの親会社であるシスコシステムズによってパッチが適用されました。
シスコシステムズによって発見され、その後パッチが適用された別の抜け穴により、許可されていない見知らぬ人が、パスワードで保護されている会議であっても、仮想会議やプライベート会議に忍び込み、盗聴することができました。ハッキングや攻撃を成功させるために必要なコンポーネントは、会議IDとWebexモバイルアプリケーションだけでした。
シスコシステムズは、重大度7.5のWebexビデオ会議でセキュリティの脆弱性を発見しました。
Ciscoによると、Webex内のセキュリティ上の欠陥は、いかなる種類の認証も必要とせずに、リモートの攻撃者によって悪用される可能性があります。攻撃者は、会議IDとWebexモバイルアプリケーションを必要とするだけです。興味深いことに、Webex用のiOSとAndroidの両方のモバイルアプリケーションを使用して攻撃を開始することができ、シスコに通知されました。 金曜日の勧告 、
「許可されていない参加者は、モバイルデバイスのWebブラウザから既知の会議IDまたは会議URLにアクセスすることにより、この脆弱性を悪用する可能性があります。次に、ブラウザはデバイスのWebexモバイルアプリケーションの起動を要求します。次に、侵入者はモバイルWebexアプリを介して特定の会議にアクセスできます。パスワードは必要ありません。」
RT脅威ポスト:A #Cisco この欠陥により、認証されていないリモートの攻撃者がパスワードで保護されたビデオ会議に参加できる可能性があります。 #ICYMI https://t.co/gbNkUyOYN9
— Meadow Mountain Tech(@meadowmttech) 2020年1月26日
シスコは、この欠陥の根本原因を突き止めました。 「この脆弱性は、モバイルアプリケーションの特定の会議参加フローでの意図しない会議情報の公開が原因です。権限のない参加者は、モバイルデバイスのWebブラウザから既知の会議IDまたは会議URLにアクセスすることにより、この脆弱性を悪用する可能性があります。」
盗聴者を暴露したであろう唯一の側面は、仮想会議の出席者のリストでした。許可されていない出席者は、モバイル出席者として会議の出席者リストに表示されます。つまり、すべての人の存在を検出できますが、管理者は、許可された人に対してリストを集計して、許可されていない人を識別します。検出されない場合、攻撃者は潜在的に秘密または重要なビジネス会議の詳細を簡単に盗聴する可能性があると報告されています ThreatPost 。
シスコ製品セキュリティインシデント対応チームがWebexの脆弱性にパッチを適用:
シスコシステムズは最近、セキュリティ上の欠陥を発見してパッチを適用しました CVSSスコアは10点満点中7.5点です。ちなみに、セキュリティの脆弱性は、公式には次のように追跡されています。 CVE-2020-3142 は、別のCiscoTACサポートケースの内部調査および解決中に見つかりました。シスコは、この欠陥の暴露または悪用に関する確認済みの報告はないと付け加えました。「シスコ製品セキュリティインシデント対応チーム(PSIRT)は、このアドバイザリに記載されている脆弱性の公表を認識していません。」
Webexの欠陥により、誰でもプライベートオンライン会議に参加できました–パスワードは必要ありません https://t.co/F9rQ4UA2Mm pic.twitter.com/7uftEBe15T
—グラハム・クラリー(@gcluley) 2020年1月26日
脆弱なCiscoSystems Webexビデオ会議プラットフォームは、39.11.5(前者の場合)および40.1.3(後者の場合)より前のバージョンのCisco Webex MeetingsSuiteサイトおよびCiscoWebex MeetingsOnlineサイトでした。シスコはバージョン39.11.5以降の脆弱性を修正し、Cisco Webex MeetingsSuiteサイトおよびCiscoWebex MeetingsOnlineサイトのバージョン40.1.3以降にパッチを適用しました。
タグ シスコ
