思科修复 Webex 允许攻击者加入私人会议漏洞
思科已经解决了webex Meetings中的三个漏洞(CVE-2020-3441,CVE-2020-3471和CVE-2020-3419),这些漏洞将允许未经身份验证的远程攻击者以虚假参与者的身份加入正在进行的会议。
“ Cisco Webex Meetings和Cisco Webex Meetings Server中的漏洞可能允许未经身份验证的远程攻击者加入Webex会话,而不会出现在参与者列表上。” 阅读思科发布的安全公告。
IBM研究人员在今年早些时候发现了这些漏洞,这是对其人员在COVID-19大流行期间远程工作使用的工具进行评估的一部分。
可以在用户列表中看到参加会议的ghost参与者,但是即使没有邀请,他们也可以访问会议中的任何媒体。
这些漏洞还使攻击者可以在管理员删除Webex会议后仍以ghost audio用户的身份留在Webex会议中,还使他们能够访问Webex用户的信息,包括全名,电子邮件地址和IP地址。
这些漏洞会影响Cisco Webex Meetings和Cisco Webex Meetings Server,它们位于允许建立新Webex会议的“握手”过程中。
“恶意行为者可能滥用这些漏洞而成为参加会议的“ghost”而未被发现。” 读取IBM发布的报告。“由IBM研究人员发现的现在已修复的漏洞将使攻击者能够:
- *以ghost般的身份参加Webex会议, 而不会在与会者列表中看到其具有对音频,视频,聊天和屏幕共享功能的完全访问权限。*
- *被赶出会议后,留在Webex会议上作为ghost ,保持音频连接。*
- 即使没有被允许参加会议,也可以从会议室大厅*访问有关与会者的信息, *包括全名,电子邮件地址和IP地址。”
专家们能够利用MacOS,Windows,iOS版的Meetings应用程序和Webex Room Kit设备上的漏洞。
“一旦开始或解锁会议,ghost就可以通过握手操作溜进来,并加入会议,而不会出现在任何与会者列表(包括主持人的与会者列表)上。ghost可以看到和听到其他参与者,并可以查看共享的屏幕和聊天,而无需透露他们的存在。” 继续报告。
“使用这种技术,参与者唯一可能会感到不孤单的提示是新音频连接的提示音。对于特别大型的会议,主持人可能会禁用进入和退出提示音,从而使虚拟主机能够完全隐身进入。在其他情况下,ghost的进入音会播放,但主持人或其他未在计数且未将每个音色与特定参与者相关联的参与者可能会忽略。
思科已经修补了基于云的思科Webex Meetings站点,并发布了针对本地软件的安全更新,以解决这些漏洞。
