RTV

Cisco wprowadza poprawki błędów Webex, które pozwalają hakerom podsłuchiwać spotkania

Obraz promocyjny do oprogramowania do wideokonferencji.

Firma Cisco wprowadza poprawki trzech luk w swoim oprogramowaniu do wideokonferencji Webex, które umożliwiły intruzom podsłuchiwanie spotkań jako „duch”, co oznacza możliwość oglądania, słuchania i nie tylko bez bycia widzianym przez organizatora lub którykolwiek z uczestników.

Luki zostały wykryte przez IBM Research i biuro IBM CISO, które przeanalizowało Webex, ponieważ jest to podstawowe narzędzie firmy do zdalnych spotkań. Odkrycie ma miejsce, gdy rutyna pracy w domu spowodowała ponad pięciokrotny wzrost wykorzystania Webex w okresie od lutego do czerwca. W szczytowym momencie Webex zorganizował do 4 milionów spotkań w ciągu jednego dnia.

Luki umożliwiły atakującemu:

  • Dołącz do spotkania jako duch, w większości przypadków z pełnym dostępem do funkcji audio, wideo, czatu i udostępniania ekranu
  • Utrzymuj kanał audio jako duch nawet po wyrzuceniu przez prowadzącego spotkanie
  • Uzyskaj dostęp do imion i nazwisk, adresów e-mail i adresów IP uczestników spotkania, nawet jeśli nie są wpuszczeni do sali konferencyjnej.

Firma Cisco jest obecnie w trakcie opracowywania poprawki dla luk w zabezpieczeniach, które są śledzone jako CVE-2020-3441, CVE-2020-3471 i CVE-2020-3419. Poniżej znajduje się demonstracja wideo i głębsze wyjaśnienie:

IBM współpracuje z Cisco, aby egzorcyzmować duchy z konferencji Webex.

Manipulowanie uściskiem dłoni

Ataki polegają na wykorzystaniu wirtualnego uzgadniania, którego Webex używa do ustanowienia połączenia między uczestnikami spotkania. Proces działa, gdy użytkownik końcowy i serwer wymieniają wiadomości dołączania, które zawierają informacje o uczestnikach, aplikacji użytkownika końcowego, identyfikatorze spotkania i szczegółach pokoju konferencyjnego. W trakcie tego procesu Webex ustanawia połączenie WebSocket między użytkownikiem a serwerem.

„Manipulując niektórymi kluczowymi polami dotyczącymi uczestnika wysyłanymi przez WebSocket podczas dołączania do spotkania, zespół był w stanie wstrzyknąć starannie opracowane wartości, które pozwalają komuś dołączyć jako uczestnik-duch” – napisali badacze IBM w poście opublikowanym w środę . „To zadziałało z powodu niewłaściwej obsługi wartości przez serwer i aplikacje klienckie innych uczestników. Na przykład wstrzyknięcie wartości null do pól „Lock” i „CB_SECURITY_PARAMS” spowodowało problem ”.

W innym miejscu raportu naukowcy napisali:

Złośliwy aktor może stać się duchem, manipulując tymi wiadomościami podczas procesu uzgadniania między aplikacją kliencką Webex a zapleczem serwera Webex, aby dołączyć do spotkania lub pozostać na spotkaniu, nie będąc widzianym przez innych. W naszej analizie zidentyfikowaliśmy określone wartości informacji o kliencie, które mogą zostać zmanipulowane podczas procesu uzgadniania, aby uczynić uczestnika niewidocznym w panelu uczestników. Udało nam się zademonstrować problem widmo uczestnika w aplikacjach Webex Meetings i urządzeniu Webex Room Kit w systemach MacOS, Windows i iOS.

Jedyną wskazówką, jaką mieliby uczestnicy, że duch wkradł się na spotkanie, jest sygnał dźwiękowy, gdy duch dołącza. Czasami liderzy konferencji wyłączają tony, a nawet gdy tony pozostają włączone, często trudno jest policzyć liczbę sygnałów, aby upewnić się, że odpowiadają liczbie uczestników.

Niewiele jest również wskazań, aby ktoś wykorzystał lukę, która pozwala mu pozostać na spotkaniu po wydaleniu lub zwolnieniu. Dzieje się tak często, gdy lider organizuje bezpośrednie spotkania z różnymi uczestnikami. W takich przypadkach duch może słuchać spotkania, ale nie ma dostępu do wideo, czatu ani udostępniania ekranu.

W środowym raporcie stwierdzono:

Nawet przy najlepszych praktykach prowadzący może nadal znaleźć się na spotkaniu z gościem, który jest niechciany i musi zostać usunięty, niezależnie od tego, czy jest to ktoś, kto spowodował awarię spotkania (np. komputer i zapomniałem odłączyć. Tak czy inaczej, gospodarz ma prawo wydalać uczestników, ale skąd wiesz, że naprawdę ich nie ma? Okazuje się, że przy tej podatności niezwykle trudno powiedzieć. Osoba atakująca mogła nie tylko dołączać do spotkań niezauważona lub znikać, zachowując łączność audio, ale może także po prostu zignorować polecenie wydalenia gospodarza, pozostać na spotkaniu i zachować połączenie audio.

Exploity, które umożliwiają uczestnikom-duchom, mogą być wykorzystywane przez duchy do uzyskiwania informacji poufnych lub zastrzeżonych. Luka umożliwiająca atakującym uzyskanie danych osobowych uczestników może być szczególnie przydatna podczas masowej zmiany pracy z domu, ponieważ sieci domowe często nie mają takich samych zabezpieczeń, jak w miejscach pracy. Luki dotyczą oprogramowania Cisco Webex wydanego przed środą. Cisco ma więcej szczegółów tutaj, tutaj i tutaj.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook