In der Cloud-basierten Cisco Webex Konferenzsoftware gab es eine Schwachstelle, die es unbefugten Dritten ermöglichte, als 'versteckter Teilnehmer an Konferenzen teilzunehmen, ohne dass dies auffällt. Cisco hat am 17. November 2020 diese Schwachstelle in seinen Cloud-Diensten adressiert.
Anzeige
Ich bin über Twitter auf das Problem aufmerksam geworden, welches Cisco in diesem Security Advisory vom 18. November 2020 öffentlich machte. Das Ganze wurde von IBM festgestellt und ist hier offen gelegt. Eine Schwachstelle in Cisco Webex Meetings und Cisco Webex Meetings Server könnte es einem nicht authentifizierten, Remote Angreifer ermöglichen, einer Webex-Sitzung beizutreten, ohne auf der Teilnehmerliste zu erscheinen.
Die Schwachstelle CVE-2020-3419
Diese Schwachstelle (CVE-2020-3419) ist auf die unsachgemäße Handhabung von Authentifizierungs-Token durch eine anfällige Webex-Site zurückzuführen. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er fertige Anfragen an eine anfällige Cisco Webex Meetings- oder Cisco Webex Meetings Server-Site sendet.
Eine erfolgreiche Ausnutzung setzt allerdings voraus, dass der Angreifer Zugang zur Teilnahme an einer Webex-Sitzung hat, einschließlich der entsprechenden Sitzungsteilnahmelinks und Passwörter. Der Angreifer könnte dann diese Schwachstelle ausnutzen, um Meetings beizutreten, ohne in der Teilnehmerliste zu erscheinen, während er vollen Zugriff auf Audio-, Video-, Chat- und Screen-Sharing-Funktionen hat. Die Schwachstelle hat einen CSSV Score von 6.5, einen Workaround oder Patch gibt es noch nicht.
Anzeige
Betroffene Produkte
Diese Schwachstelle betraf vor dem 17. November 2020 alle Cisco-Webex-Treffen-Standorte. Webex Meetings ist Cloud-basiert. Zum Zeitpunkt der Veröffentlichung betraf diese Schwachstelle auch alle Cisco Webex Meetings Apps der Version 40.10.9 und früher für iOS und Android. Zum Zeitpunkt der Veröffentlichung betraf diese Schwachstelle auch die folgenden Versionen des Cisco Webex Meetings Server:
- 3.0MR Sicherheits-Patch 4 und früher
- 4.0MR3 Sicherheits-Patch 3 und früher
Cisco hat diese Schwachstelle am 17. November 2020 in Cisco Webex Meetings Sites, die Cloud-basiert sind, adressiert. Es ist keine Benutzeraktion erforderlich.
Anzeige