Η Cisco διόρθωσε χθες τρία bugs στο Webex Meetings που θα μπορούσαν να επιτρέψουν σε χάκερς να συμμετάσχουν σε meetings εν αγνοία των συμμετεχόντων. Το Cisco Webex είναι ένα online software για συσκέψεις και τηλεδιασκέψεις, το οποίο παρέχει στους χρήστες, μεταξύ άλλων, τη δυνατότητα να κάνουν παρουσιάσεις, να κοινοποιήσουν την οθόνη τους αλλά και να καταγράψουν μία συνομιλία.
Η χρήση της πλατφόρμας απομακρυσμένων meetings της Cisco αυξήθηκε κατά 451% μέσα σε τέσσερις μόλις μήνες, ενόψει των νέων συνθηκών που έχει δημιουργήσει η παγκόσμια πανδημία του COVID-19. Αξιοσημείωτο είναι το γεγονός ότι περίπου 4 εκατομμύρια meetings πραγματοποιούνται μέσω της πλατφόρμας της Cisco σε καθημερινή βάση, με τη συμμετοχή πάνω από 320.000.000 χρηστών.
Οι κυβερνοεγκληματίες που εκμεταλλεύονται αυτά τα bugs θα μπορούσαν να γίνουν χρήστες «φαντάσματα», συμμετέχοντας σε ένα virtual meeting χωρίς να γίνουν αντιληπτοί. Με άλλα λόγια, οι μη εξουσιοδοτημένοι χρήστες μπορούν να συμμετάσχουν σε ένα meeting χωρίς να φαίνονται στη λίστα των χρηστών και χωρίς να έχουν προσκληθεί να συμμετάσχουν σε αυτό. Μπορούν ωστόσο να μιλήσουν, να ακούσουν, να μιλήσουν και να κοινοποιήσουν ό,τι θέλουν.
Τα τρία bugs θα μπορούσαν επίσης να επιτρέψουν στους επιτιθέμενους να παραμείνουν στo Webex meeting και να διατηρήσουν μια αμφίδρομη σύνδεση ήχου ακόμα και μετά την αφαίρεση των διαχειριστών αλλά και να αποκτήσουν πρόσβαση στις πληροφορίες των χρηστών του Webex, όπως διευθύνσεις email και διευθύνσεις IP από το λόμπι της αίθουσας συσκέψεων. Τα bugs έχουν εντοπιστεί στο Cisco Webex Meetings και στο Cisco Webex Meetings Server.
Όπως αναφέρει το BleepingComputer, σε περίπτωση που οι χάκερς καταφέρουν να εκμεταλλευτούν επιτυχώς αυτά τα bugs, θα μπορούσαν να κάνουν να ακόλουθα:
- Να συμμετάσχουν σε ένα Webex meeting χωρίς να εμφανίζονται στη λίστα των συμμετεχόντων, έχοντας πλήρη πρόσβαση σε δυνατότητες ήχου, βίντεο, συνομιλίας και κοινής χρήσης οθόνης (CVE-2020-3419)
- Να παραμείνουν σε ένα Webex meeting ως φαντάσματα, διατηρώντας τη σύνδεση ήχου (CVE-2020-3471)
- Να αποκτήσουν πρόσβαση σε πληροφορίες σχετικά με τους συμμετέχοντες, συμπεριλαμβανομένων των πλήρων ονομάτων, των διευθύνσεων email και των διευθύνσεων IP – από το λόμπι της αίθουσας συσκέψεων, ακόμη και χωρίς να γίνουν δεκτοί στην κλήση (CVE-2020-3441)
Οι ερευνητές εντόπισαν επιθέσεις που πραγματοποίησαν οι χάκερς εκμεταλλευόμενοι αυτά τα bugs στο Webex σε Windows, macOS και την έκδοση iOS των εφαρμογών Webex Meetings και της συσκευής Webex Room Kit.
Η Cisco αντιμετώπισε τα bugs επιδιορθώνοντας τοποθεσίες Cisco Webex Meetings που βασίζονται σε cloud και κυκλοφορώντας ενημερώσεις ασφαλείας για software εσωτερικής εγκατάστασης, όπως η εφαρμογή για κινητά Cisco Webex Meetings και το software Cisco Webex Meetings Server.
Τέλος, συνιστάται στους χρήστες να λάβουν άμεσα την πιο πρόσφατη έκδοση του Webex για να προστατευτούν από τους χάκερς. Η ερευνητική ομάδα της IBM έχει επίσης κάνει μια επίδειξη βίντεο στα οποία παρέχει πληροφορίες σχετικά με ευπάθειες, καθώς και συμβουλές για το τί μπορεί να κάνει το Webex Meetings για να αποτρέψει ενδεχόμενες επιθέσεις.
