Cacat Keselamatan Platform Persidangan Video Cisco Webex yang Popular Dibolehkan Pengguna Tidak Berautoriti Untuk Menyertai Mesyuarat Dalam Talian Peribadi

Berita
Keselamatan / Cacat Keselamatan Platform Persidangan Video Cisco Webex yang Popular Dibolehkan Pengguna Tidak Berautoriti Untuk Menyertai Mesyuarat Dalam Talian Peribadi 2 minit membaca

Cisco



Kekurangan keselamatan dalam platform Persidangan Video Webex yang popular membolehkan pengguna yang tidak dibenarkan atau tidak sah untuk menyertai mesyuarat dalam talian peribadi. Ancaman serius terhadap privasi dan jalan masuk ke percubaan pengintipan yang berpotensi berjaya ditambatkan oleh syarikat induk Webex, Cisco Systems.

Celah lain yang dijumpai dan kemudian ditambal oleh Cisco Systems membolehkan orang asing yang tidak dibenarkan masuk ke dalam perjumpaan maya dan persendirian, bahkan yang dilindungi oleh kata laluan, dan menguping. Satu-satunya komponen yang diperlukan untuk berjaya meretas atau menyerang adalah ID mesyuarat dan aplikasi mudah alih Webex.



Sistem Cisco Cari Kerentanan Keselamatan Dalam Persidangan Video Webex Dengan Peringkat Keterukan 7.5:

Kekurangan keselamatan dalam Webex dapat dimanfaatkan oleh penyerang jarak jauh tanpa memerlukan pengesahan apa pun, kata Cisco. Penyerang hanya memerlukan ID mesyuarat dan aplikasi mudah alih Webex. Menariknya, kedua-dua aplikasi mudah alih iOS dan Android untuk Webex dapat digunakan untuk melancarkan serangan itu, diberitahu Cisco di Nasihat Jumaat ,



'Peserta yang tidak sah dapat memanfaatkan kerentanan ini dengan mengakses ID rapat atau URL rapat yang diketahui dari penyemak imbas web peranti mudah alih. Penyemak imbas kemudian akan meminta untuk melancarkan aplikasi mudah alih Webex peranti. Seterusnya, interloper dapat mengakses pertemuan tertentu melalui aplikasi Webex mudah alih, tidak memerlukan kata laluan. '



Cisco telah mengetahui punca cacatnya. 'Kerentanan ini disebabkan oleh pendedahan maklumat pertemuan yang tidak diinginkan dalam aliran gabungan pertemuan tertentu untuk aplikasi mudah alih. Peserta yang tidak dibenarkan dapat memanfaatkan kerentanan ini dengan mengakses ID rapat atau URL rapat yang diketahui dari penyemak imbas web peranti mudah alih. '



Satu-satunya aspek yang akan mendedahkan penyadap telinga adalah senarai hadirin dalam perjumpaan maya. Peserta yang tidak dibenarkan akan kelihatan dalam senarai peserta mesyuarat sebagai peserta bergerak. Dengan kata lain, kehadiran semua orang dapat dikesan, tetapi adalah untuk pentadbir untuk menghitung senarai terhadap kakitangan yang berwenang untuk mengenal pasti orang yang tidak dibenarkan. Sekiranya tidak dapat dikesan, penyerang dapat dengan mudah mengupas perincian pertemuan perniagaan yang berpotensi dirahsiakan atau kritikal, dilaporkan ThreatPost .

Pasukan Respons Insiden Keselamatan Produk Cisco Menangani Kerentanan Di Webex:

Cisco Systems baru-baru ini menemui dan memperbaiki kelemahan keselamatan dengan skor CVSS 7.5 daripada 10. Secara kebetulan, kelemahan keselamatan, secara rasmi dikesan sebagai CVE-2020-3142 , ditemui semasa siasatan dalaman dan penyelesaian untuk kes sokongan Cisco TAC yang lain. Cisco telah menambahkan bahawa tidak ada laporan yang disahkan mengenai pendedahan atau eksploitasi cacat tersebut, 'Tim Cisco Product Security Incident Response (PSIRT) tidak mengetahui adanya pengumuman umum mengenai kerentanan yang dijelaskan dalam nasihat ini.'

Platform Persidangan Video Cisco Systems Webex yang rentan adalah laman Cisco Webex Meetings Suite dan laman web Cisco Webex Meetings Online untuk versi lebih awal daripada 39.11.5 (untuk yang pertama) dan 40.1.3 (untuk yang terakhir). Cisco memperbaiki kerentanan dalam versi 39.11.5 dan yang lebih baru, laman web The Cisco Webex Meetings Suite dan laman web Cisco Webex Meetings Online versi 40.1.3 dan yang lebih baru ditambal.

Teg Cisco