Cisco: Webex hibák javítása
A Cisco biztonsági figyelmeztetést adott ki, miután a média arról számolt be, hogy a német kormány Webex-értekezletei nyilvánosságra kerültek, és így rendkívül érzékeny információk kerülhettek nyilvánosságra.
A Zeit Online május 4-én arról számolt be, hogy a Cisco Webex videokonferencia-szoftver német kormányzati implementációjában található sebezhetőségeket kihasználva belső megbeszélésekhez és magas rangú tisztviselők tárgyalótermeihez vezető linkekhez lehetett hozzáférni. A német kormány a Webex helyhez kötött verzióját használta, hogy az adatokat helyi szervereken tárolja, és biztosítsa, hogy azok ne hagyják el az országot.
A német hadsereg (Bundeswehr) is elismerte, hogy az általa használt videokonferencia-eszköz hibája miatt több ezer ülése nyilvánosan hozzáférhetővé vált az interneten.
A kutatók azonban felfedeztek egy olyan, úgy tűnik, nem biztonságos közvetlen objektumhivatkozás (IDOR) sebezhetőséget, amelyet kihasználva több ezer belső Webex-értekezlet linkjeit lehetett volna megszerezni, egyszerűen a számok megváltoztatásával egy értekezlet linkjében.
Ez felfedte az értekezlet témáját, időpontját és résztvevőit, beleértve a katonai tevékenységeket megvitató érzékeny üléseket is.
Ezenkívül a magas rangú tisztviselők személyes tárgyalótermeit nem védték jelszavakkal, így az ellenfelek könnyen hozzáférhettek, és potenciálisan titkos információkhoz jutottak.
A Cisco egy június 4-én közzétett biztonsági figyelmeztetésben foglalkozott az incidenssel, kiadott javításokat, de továbbra is figyeli az illetéktelen tevékenységeket.
2024 májusának elején a Cisco olyan hibákat azonosított a Cisco Webex Meetings programban, amelyek célzott biztonsági kutatási tevékenységet végeztek, lehetővé téve az illetéktelen hozzáférést az értekezletek információihoz és metaadataihoz a Cisco Webex telepítésekben a frankfurti adatközpontunkban üzemeltetett ügyfelek számára. Ezeket a hibákat kijavították, és 2024. május 28-án a javítást világszerte teljes mértékben végrehajtották.