Cisco Webex: Schwachstelle erlaubte mithören durch 'Geister-Teilnehmer'

Publiziert am 19. November 2020 von Günter Born

In der Cloud-basierten Cisco Webex Konferenzsoftware gab es eine Schwachstelle, die es unbefugten Dritten ermöglichte, als 'versteckter Teilnehmer an Konferenzen teilzunehmen, ohne dass dies auffällt. Cisco hat am 17. November 2020 diese Schwachstelle in seinen Cloud-Diensten adressiert.

Anzeige

Ich bin über Twitter auf das Problem aufmerksam geworden, welches Cisco in diesem Security Advisory vom 18. November 2020 öffentlich machte. Das Ganze wurde von IBM festgestellt und ist hier offen gelegt. Eine Schwachstelle in Cisco Webex Meetings und Cisco Webex Meetings Server könnte es einem nicht authentifizierten, Remote Angreifer ermöglichen, einer Webex-Sitzung beizutreten, ohne auf der Teilnehmerliste zu erscheinen.

Cisco Webex Security flaw

Die Schwachstelle CVE-2020-3419

Diese Schwachstelle (CVE-2020-3419) ist auf die unsachgemäße Handhabung von Authentifizierungs-Token durch eine anfällige Webex-Site zurückzuführen. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er fertige Anfragen an eine anfällige Cisco Webex Meetings- oder Cisco Webex Meetings Server-Site sendet.

Eine erfolgreiche Ausnutzung setzt allerdings voraus, dass der Angreifer Zugang zur Teilnahme an einer Webex-Sitzung hat, einschließlich der entsprechenden Sitzungsteilnahmelinks und Passwörter. Der Angreifer könnte dann diese Schwachstelle ausnutzen, um Meetings beizutreten, ohne in der Teilnehmerliste zu erscheinen, während er vollen Zugriff auf Audio-, Video-, Chat- und Screen-Sharing-Funktionen hat. Die Schwachstelle hat einen CSSV Score von 6.5, einen Workaround oder Patch gibt es noch nicht.

Betroffene Produkte

Diese Schwachstelle betraf vor dem 17. November 2020 alle Cisco-Webex-Treffen-Standorte. Webex Meetings ist Cloud-basiert. Zum Zeitpunkt der Veröffentlichung betraf diese Schwachstelle auch alle Cisco Webex Meetings Apps der Version 40.10.9 und früher für iOS und Android. Zum Zeitpunkt der Veröffentlichung betraf diese Schwachstelle auch die folgenden Versionen des Cisco Webex Meetings Server:

  • 3.0MR Sicherheits-Patch 4 und früher
  • 4.0MR3 Sicherheits-Patch 3 und früher

Cisco hat diese Schwachstelle am 17. November 2020 in Cisco Webex Meetings Sites, die Cloud-basiert sind, adressiert. Es ist keine Benutzeraktion erforderlich.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.