Баги Cisco Webex позволяют незримо присутствовать на чужой конференции

20 ноября 2020 г., пятница, 07:15

В продуктах линейки Webex Meetings производства Cisco Systems выявлены три уязвимости, позволяющие нелегально присоединиться к видеоконференции и следить за ее ходом, не раскрывая своего присутствия. Профильные облачные сервисы Cisco пропатчила, заплатки для мобильных и серверных приложений Webex уже доступны, выпуск остальных запланирован на 24 ноября.

По словам авторов находки, новые проблемы связаны с возможностью манипулирования данными, которыми клиент Webex и бэкенд-сервер обмениваются в ходе рукопожатия. Внедрение участника-невидимки в видеоконференцию и персональные комнаты Webex было с успехом воспроизведено на macOS, Windows и iOS.

Представляя результаты анализа уязвимостей, эксперты IBM отметили, что эксплуатация во всех случаях возможна лишь при наличии URL запланированного мероприятия и производится путем подачи особого запроса на целевой сервер.

Согласно описаниям Cisco, новые лазейки в совокупности позволяют атакующему сделать следующее:

Присоединиться к Webex-конференции, не попав ни в один список участников, и получить полный доступ к средствам аудио- и видеотрансляции, чатам, а также текстовым и графическим материалам (CVE-2020-3419).
Слушать выступления даже после занесения в черные списки (CVE-2020-3471).
Собирать информацию об участниках конференции, такую как полное имя, email, IP-адрес и проч. (CVE-2020-3441).

В текущем году популярность платформы Webex, по данным IBM, увеличилась в 5,5 раза — видимо, из-за COVID-19. В пиковые дни сидящие на удаленке сотрудники компаний проводили по 4 млн Webex-встреч с количеством участников до 324 миллионов.

Anti-Malware

нравится

не нравится

Рейтинг:

Всего голосов: 1

Комментарии

Добавить

Нет комментариев

Новые материалы в Разное:

Canon публично признала себя жертвой шифровальщика и утечки данных // 27 ноября

Мошенники взимают предоплату жилья от имени ЦИАН // 27 ноября

Страховые компании хотят доступ к системе распознавания лиц Москвы // 27 ноября

Атака Ryuk обойдется Sopra Steria в 50 миллионов евро // 27 ноября

Последние новости

14:15		Canon публично признала себя жертвой шифровальщика и утечки данных
12:15		Мошенники взимают предоплату жилья от имени ЦИАН
10:15		Страховые компании хотят доступ к системе распознавания лиц Москвы
07:15		Атака Ryuk обойдется Sopra Steria в 50 миллионов евро
15:15		Из-за ошибки конфигурации данные клиентов Sophos оказались под угрозой
13:15		В этом году Google выявила 2 миллиона фишинговых сайтов
10:15		Новые решения Group-IB помогут бороться с фродом и составить карту угроз
10:15		Group-IB с Европолом предотвратили ущерб для банков на €40 млн
06:15		Эксперт случайно выявил 0-day в Windows 7 и Windows Server 2008
15:15		В Telegram реализовали тревожную кнопку для блокировки утечек данных
12:15		Мэрия: анализ веб-активности москвичей не нарушит тайну личной жизни
08:15		Баг в cPanel позволял обойти двухфакторную аутентификацию (2FA)
06:15		Новый Android-вредонос использует старое доброе WAP-мошенничество
17:15		ПАК «Рутокен» сертифицирован ФСТЭК России по 4 уровню доверия
16:15		На Road Show SearchInform рассказали о современном подходе к ИБ
15:15		Критическая 0-day VMware позволяет выполнить команду с правами админа
14:15		Спустя полгода Microsoft не устранила баг инструмента дефрагментации
13:15		Зловредный WP-плагин создает фейковые магазины для манипуляции SEO

Все новости

Добавить комментарий к новости
Ваше имя: *
Сообщение: *

Баги Cisco Webex позволяют незримо присутствовать на чужой конференции

Добавить комментарий к новости