Уязвимости в Cisco Webex позволяют скрытно подслушивать совещания

19 ноября 2020 года

Компания Cisco исправила три уязвимости (CVE-2020-3441, CVE-2020-3471 и CVE-2020-3419) в приложении для видеоконференцсвязи Webex, эксплуатация которых позволяет злоумышленникам присоединиться к совещанию и подслушивать разговоры в качестве «пользователя-призрака», невидимого для других участников.

Уязвимости были обнаружены ранее в нынешнем году исследователями безопасности из IBM. Сочетание трех проблем позволяет злоумышленнику:

Присоединяться к совещанию Webex в качестве пользователя-призрака, невидимого для других в списке участников, но с полным доступом к аудио, видео, чату и демонстрации экрана.

Оставаться на совещании Webex в качестве пользователя-призрака и прослушивать аудио даже после исключения из конференции.

Получить информацию об участниках встречи, включая полные имена, адреса электронной почты и IP-адреса. Информацию также можно получить до того, как злоумышленник будет допущен к вызову.

По словам специалистов, проблемы связаны с процессом «рукопожатия», который происходит при назначении новых совещаний Webex. Злоумышленники, получившие доступ к URL-адресу собрания, могут подключаться к серверу Webex, отправлять модифицированные пакеты и манипулировать сервером, чтобы получить доступ к собраниям и сведениям об участниках.

«Нам удалось продемонстрировать проблему с пользователем-призраком в macOS, Windows и версии приложений Webex Meetings для iOS, а также в устройстве Webex Room Kit», — добавили исследователи.

Уязвимости могут быть использованы только в том случае, если злоумышленники знают уникальные URL-адреса запланированных совещаний Webex и личных комнат пользователей. Однако «личные комнаты легче использовать, потому что они часто основаны на предсказуемой комбинации имени владельца комнаты и названия организации».

Источники править

 
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.