Beveiligingslek in Cisco Webex laat aanvaller ongezien deelnemen

[Captain Kirk]

Een beveiligingslek in videoconferentiesoftware Cisco Webex maakt het mogelijk voor een ongeauthenticeerde aanvaller om ongezien aan een vergadering deel te nemen. Daarnaast zijn er twee kwetsbaarheden gevonden waardoor geschorste deelnemers de audio van de vergadering kunnen blijven beluisteren en een ongeauthenticeerde aanvaller gevoelige informatie van de meeting room lobby kan bekijken. Cisco heeft updates uitgebracht om de problemen te verhelpen.

Het probleem waarbij een aanvaller aan een vergadering kon deelnemen zonder op de deelnemerslijst te verschijnen werd volgens Cisco veroorzaakt door het niet goed verwerken van authenticatietokens. Verdere details worden niet gegeven. Wel meldt Cisco dat een aanvaller over de link en het wachtwood van de meeting moest beschikken. Vervolgens was het mogelijk om aan de meeting deel te nemen zonder in deelnemerslijst te verschijnen en had de aanvaller volledige toegang tot audio, video, chat en screensharingmogelijkheden.

Daarnaast was er een probleem waarbij een uit de vergadering verwijderde aanvaller of deelnemer toegang tot de audio kon behouden. Een synchronisatieprobleem tussen meeting- en mediaservices op een kwetsbare Webex-site was de boosdoener, aldus Cisco. Dit probleem werd veroorzaakt door het droppen van bepaalde "key control messages" die over de opgezette WebSockets werden uitgewisseld. Dit zorgde ervoor dat de deelnemer niet meer zichtbaar was op de deelnemerslijst, maar de audioverbinding actief bleef.

Bij de derde kwetsbaarheid werd gevoelige deelnemersinformatie niet goed beveiligd, waardoor een aanvaller toegang kon krijgen tot onder andere e-mailadressen en ip-adressen van Webex-deelnemers die in de lobby wachtten. Uitgebreide details over de drie kwetsbaarheden, die door IBM werden gevonden, zijn niet gegeven. Mogelijk dat die na de uitrol van de beveiligingsupdates verschijnen.

 

bron: https://www.security.nl