Cisco Systems har patchat en sårbarhet med hög svårighetsgrad i Webex-videokonferensplattformen, vilket kan tillåta obehöriga användare att gå med i lösenordsskyddade Webex-möten.
Sårbarheten, kallad CVE-2020-3142, påverkade Cisco Webex Meetings Suite-webbplatser och Cisco Webex Meetings Online-webbplatser som släpps tidigare än 39.11.5 och 40.1.3. Sårbarheten har fått en CVSS-poäng på 7,5 av 10 och upptäcktes medan experterna löste ett Cisco TAC-supportfall.
Cisco informerade kunderna om att korrigeringarna endast gällde webbplatserna och att de inte var skyldiga att uppdatera sina mobila eller stationära Webex Meetings-applikationer.
För att utnyttja bristen behöver angriparen enbart känna till mötes-ID. När den väl infogats i Webex mobilapplikation för antingen iOS eller Android, kommer den att möjliggöra angriparen att gå med i mötet och dessutom kringgå alla autentiseringar.
”Sårbarheten beror på oavsiktlig exponering av mötesinformation i ett specifikt sammanträdesflöde för mobilapplikationer. En obehörig deltagare kan utnyttja denna sårbarhet genom att komma åt ett känt mötes-ID eller en mötes-URL från den mobila enhetens webbläsare. Webbläsaren kommer sedan att begära att starta enhetens Webex-mobilapplikation”, uttalade Cisco i sin rådgivningstjänst..
Lyckligtvis är angriparnas närvaro i mötet lätt att upptäcka eftersom de obehöriga deltagarna är synliga i mötets deltagarlistan som en mobil deltagare. Om en angripare lämnas oupptäckt, kommer denne dock kunna övervaka mötesdetaljer.
Användare kan utföra följande steg för att bestämma den aktuella versionen på en Meetings Suite-webbplats eller Meetings Online-webbplats:
- Logga in på Cisco Webex Meetings Suite-webbplatsen eller Meetings Online-webbplatsen.
- Navigera till Nedladdningar på vänster sida av sidan.
- Hålla markören över cirkelns ”i” bredvid versioninformationen.
- Kontrollera värdet som visas bredvid sidversionen.
Cisco Product Security Incident Response Team (PSIRT) känner inte till några offentliga tillkännagivanden om sårbarheten som beskrivs i denna rådgivning.
