ข้อบกพร่องด้านความปลอดภัยของแพลตฟอร์มการประชุมทางวิดีโอ Cisco Webex ยอดนิยมอนุญาตให้ผู้ใช้ที่ไม่ได้รับการรับรองความถูกต้องเข้าร่วมการประชุมออนไลน์ส่วนตัว
ข้อบกพร่องด้านความปลอดภัยภายในแพลตฟอร์ม Webex Video Conferencing ที่เป็นที่นิยมทำให้ผู้ใช้ที่ไม่ได้รับอนุญาตหรือไม่ได้รับการตรวจสอบสิทธิ์เข้าร่วมการประชุมออนไลน์ส่วนตัว ภัยคุกคามที่ร้ายแรงต่อความเป็นส่วนตัวและประตูสู่ความพยายามในการจารกรรมที่อาจประสบความสำเร็จได้รับการแก้ไขโดย บริษัท แม่ Webex, Cisco Systems
ช่องโหว่อีกช่องหนึ่งที่ค้นพบและได้รับการแก้ไขโดย Cisco Systems ในภายหลังทำให้คนแปลกหน้าที่ไม่ได้รับอนุญาตสามารถแอบเข้าไปในการประชุมเสมือนและส่วนตัวได้แม้กระทั่งการป้องกันด้วยรหัสผ่านและการดักฟัง ส่วนประกอบเดียวที่จำเป็นในการดึงการแฮ็กหรือการโจมตีได้สำเร็จคือ ID การประชุมและแอปพลิเคชัน Webex บนมือถือ
Cisco Systems ค้นพบช่องโหว่ด้านความปลอดภัยในการประชุมทางวิดีโอ Webex ด้วยระดับความรุนแรง 7.5:
ข้อบกพร่องด้านความปลอดภัยภายใน Webex อาจถูกโจมตีโดยผู้โจมตีระยะไกลโดยไม่จำเป็นต้องมีการรับรองความถูกต้องใด ๆ ตามที่ Cisco ระบุ ผู้โจมตีต้องการเพียง ID การประชุมและแอปพลิเคชัน Webex บนมือถือ ที่น่าสนใจคือทั้งแอปพลิเคชันมือถือ iOS และ Android สำหรับ Webex สามารถใช้เพื่อเริ่มการโจมตีได้แจ้งให้ Cisco ทราบในคำแนะนำเมื่อวันศุกร์
“ ผู้เข้าร่วมที่ไม่ได้รับอนุญาตสามารถใช้ช่องโหว่นี้ได้โดยการเข้าถึง ID การประชุมที่รู้จักหรือ URL การประชุมจากเว็บเบราว์เซอร์ของอุปกรณ์เคลื่อนที่ จากนั้นเบราว์เซอร์จะขอเปิดแอปพลิเคชัน Webex บนมือถือของอุปกรณ์ จากนั้นผู้ประสานงานสามารถเข้าถึงการประชุมเฉพาะผ่านแอป Webex บนมือถือโดยไม่ต้องใช้รหัสผ่าน”
ซิสโก้ได้ค้นพบสาเหตุของข้อบกพร่องแล้ว “ ช่องโหว่นี้เกิดจากการเปิดเผยข้อมูลการประชุมโดยไม่ได้ตั้งใจในขั้นตอนการเข้าร่วมการประชุมเฉพาะสำหรับแอปพลิเคชันมือถือ ผู้เข้าร่วมที่ไม่ได้รับอนุญาตสามารถใช้ช่องโหว่นี้ได้โดยการเข้าถึง ID การประชุมที่รู้จักหรือ URL การประชุมจากเว็บเบราว์เซอร์ของอุปกรณ์เคลื่อนที่”
สิ่งเดียวที่จะทำให้ผู้ดักฟังได้สัมผัสคือรายชื่อผู้เข้าร่วมในการประชุมเสมือน ผู้เข้าร่วมที่ไม่ได้รับอนุญาตจะปรากฏในรายชื่อผู้เข้าร่วมของการประชุมในฐานะผู้เข้าร่วมแบบเคลื่อนที่ กล่าวอีกนัยหนึ่งก็คือสามารถตรวจพบการมีอยู่ของบุคคลทั้งหมดได้ แต่มีไว้สำหรับผู้ดูแลระบบในการนับรายชื่อกับบุคลากรที่ได้รับอนุญาตเพื่อระบุตัวบุคคลที่ไม่ได้รับอนุญาต หากตรวจไม่พบผู้โจมตีสามารถดักฟังรายละเอียดการประชุมทางธุรกิจที่อาจเป็นความลับหรือสำคัญได้อย่างง่ายดายรายงาน ThreatPost
ทีมตอบสนองต่อเหตุการณ์ด้านความปลอดภัยของผลิตภัณฑ์ Cisco แก้ไขช่องโหว่ใน Webex:
Cisco Systems เพิ่งค้นพบและแก้ไขข้อบกพร่องด้านความปลอดภัยด้วยคะแนน CVSS 7.5 จาก 10 โดยบังเอิญช่องโหว่ด้านความปลอดภัยที่ติดตามอย่างเป็นทางการในชื่อ CVE-2020-3142 ถูกพบในระหว่างการตรวจสอบและแก้ไขปัญหาภายในสำหรับกรณีการสนับสนุน Cisco TAC อื่น Cisco ได้กล่าวเพิ่มเติมว่าไม่มีรายงานที่ได้รับการยืนยันเกี่ยวกับการเปิดเผยหรือการใช้ประโยชน์จากข้อบกพร่อง“ ทีมตอบสนองเหตุการณ์ความปลอดภัยของผลิตภัณฑ์ Cisco (PSIRT) ไม่ทราบถึงการประกาศสาธารณะเกี่ยวกับช่องโหว่ที่อธิบายไว้ในคำแนะนำนี้”
แพลตฟอร์ม Cisco Systems Webex Video Conferencing ที่มีช่องโหว่ ได้แก่ ไซต์ Cisco Webex Meetings Suite และไซต์ Cisco Webex Meetings Online สำหรับเวอร์ชันก่อนหน้า 39.11.5 (สำหรับรุ่นก่อน) และ 40.1.3 (สำหรับรุ่นหลัง) Cisco แก้ไขช่องโหว่ในเวอร์ชัน 39.11.5 ขึ้นไปไซต์ Cisco Webex Meetings Suite และไซต์ Cisco Webex Meetings Online เวอร์ชัน 40.1.3 ขึ้นไปได้รับการแก้ไขแล้ว