0
0
Pesquisadores descobriram três falhas perigosas de segurança na popular ferramenta de videoconferência da CISCO, a Webex. Nas palavras dos pesquisadores, as falhas podem permitir que qualquer pessoa se torne um “fantasma”, participando de uma reunião sem ser detectado.
Descobertas pelo Escritório do CISO da IBM, as falhas vieram à tona depois que o Gartner notou um aumento considerável na videoconferência associada à pandemia. O Big Blue não foi exceção à regra, tendo aumentado seu próprio uso de tais ferramentas – principalmente Webex. Bisbilhotando a plataforma em busca de bugs, os geeks da IBM descobriram três vulnerabilidades desagradáveis que poderiam permitir que alguém:
- Participe de uma reunião da Webex como um fantasma sem ser visto na lista de participantes, com acesso completo aos recursos de áudio, vídeo, bate-papo e compartilhamento de tela.
- Fique em uma reunião da Webex como um fantasma depois de ser expulso dele, mantendo a conexão de áudio.
- Obtenha acesso a informações sobre os participantes da reunião — incluindo nomes completos, endereços de e-mail e endereços IP — do lobby da sala de reunião, mesmo sem que seja admitido na chamada.
As falhas afetam ambas as reuniões agendadas com URLs de reunião única e Salas Pessoais webex, com as Salas sendo um pouco mais fáceis de explorar “porque muitas vezes são baseadas em uma combinação previsível do nome do proprietário da sala e do nome da organização”, de acordo com a IBM.
Switchzilla rastreia os bugs da seguinte forma:
Todas as três vulnerabilidades funcionam explorando o processo de aperto de mão que a Webex usa para estabelecer uma conexão entre os participantes do encontro. No caso do CVE-2020-3419, a fraqueza é rendeda pelo manuseio inadequado de tokens de autenticação por um site de Webex vulnerável. Para explorar o CVE-2020-3471, um ator mal-intencionado tiraria vantagem de um problema de sincronização entre a reunião e os serviços de mídia em um site de Webex vulnerável. E no caso do CVE-2020-3441, a proteção insuficiente das informações confidenciais dos participantes é a culpada.
“Um ator mal-intencionado pode se tornar um fantasma manipulando essas mensagens durante o processo de aperto de mão entre o aplicativo cliente Webex e o back-end do servidor Webex para participar ou ficar em uma reunião sem ser visto por outros”, disseram os pesquisadores da IBM.
A segunda falha é especialmente preocupante, pois pode permitir que um fantasma fique em uma reunião invisível por outros, mesmo depois de ser expulso pelo anfitrião.
“Identificamos que poderíamos manter a comunicação de áudio bidirecional funcionando enquanto um servidor pensava que a conexão de um participante caiu — o que significa que o participante desapareceu do painel dos participantes e se tornou um fantasma”, disseram os pesquisadores.
Desde sua descoberta, a CISCO abordou essas vulnerabilidades. O componente ‘sites’ é cuidado, mas os usuários do CISCOWebex Meetings Server devem instalar o Patch de Segurança 3.0MR3 Patch 5 ou 4.0MR3 Security Patch 4 para fechar esses buracos. Os avisos também mencionam os aplicativos do Webex Meetings para iOS e Android como sendo afetados, por isso não deixe de baixar e instalar a versão mais recente desses também.
FONTE: HOT FOR SECURITY