Cisco Webex Vulns deja que los asistentes &#39fantasmas&#39 espíen las reuniones



Tres vulnerabilidades, parcheadas hoy, podrían permitir que un atacante husmee en las reuniones sin ser detectado después de que el anfitrión las elimine.

Cisco Webex parcheó hoy tres vulnerabilidades en su plataforma de videoconferencia que podrían permitir a un atacante unirse a reuniones como un «fantasma» sin aparecer en la lista de participantes, permanecer en una reunión después de ser expulsado y obtener acceso a los datos de los asistentes en el vestíbulo de la sala de reuniones. .

Las vulnerabilidades fueron descubiertas por IBM Analysis, donde los expertos decidieron analizar el software del que más dependían a medida que los empleados pasaban a las oficinas en casa, dice Ian Molloy, director de RSM y jefe de departamento de IBM Investigation.

«Nuestro CISO recomendó investigar las mejores prácticas en torno a las reuniones, las mejores formas de proteger a la empresa», dice.

Webex, que es la herramienta principal de IBM para reuniones remotas, se convirtió en el tema de investigación. Las vulnerabilidades que descubrieron existen en el proceso de «apretón de manos» que Webex utiliza para crear conexiones entre los asistentes a la reunión, los investigadores explicado en un informe de sus hallazgos. Como parte de este proceso, un sistema cliente y un servidor intercambian mensajes de «unirse» con datos sobre los asistentes a la reunión, la aplicación del cliente, la identificación de la reunión, los detalles de la sala de reuniones y otra información.

Un atacante con una URL de reunión podría manipular los mensajes entre la aplicación cliente de Webex y el back again-close del servidor de Webex para unirse y permanecer en una reunión sin ser visto por otros asistentes. Los investigadores dicen que identificaron las piezas específicas de datos del cliente que un atacante necesitaría manipular para colarse en una reunión de Webex sin ser detectado.

Cuando un anfitrión inicia o desbloquea una llamada, un atacante podría usar la manipulación del apretón de manos para entrar sin que los asistentes lo sepan. Podrían ver y escuchar a otros participantes, ver pantallas compartidas y chatear sin revelar su presencia. Los asistentes pueden escuchar un pitido adicional cuando la persona adicional se cuela Aparte de eso, su presencia probablemente pasaría desapercibida, a menos que el fantasma comenzara a charlar con otros participantes o enviar mensajes al grupo.

El defecto de Ghost Be a part of (CVE-2020-3419) permitiría que un invitado no invitado se uniera a una reunión de Webex, mientras que una vulnerabilidad separada (CVE-2020-3471) les dejaría quedarse después de que un anfitrión los echara. El anfitrión y otros asistentes no verían al fantasma en una lista de participantes, pero aún pueden escuchar.

«Con el aumento de las reuniones consecutivas, esta táctica permitiría a un atacante escuchar conversaciones más sensibles y podría usarse junto con la ingeniería social para unirse a reuniones bloqueadas», escribieron los investigadores, y señalaron que una vez que alguien se convierte en un asistente fantasma, es imposible para verlos.

La tercera vulnerabilidad (CVE-2020-3441) podría beneficiar a un atacante antes de que comience la reunión. En el vestíbulo de la reunión, podían acceder a los datos de los participantes, como el nombre, la dirección de correo electrónico, la dirección IP, cómo se conectaban (teléfono, navegador, Webex Room Kit) y otros detalles del sistema. Estos datos eran accesibles incluso si una reunión estaba bloqueada o aún no había comenzado, anotaron los investigadores.

«Durante el protocolo de comunicación, notamos que se recopilaban el nombre, el correo electrónico y la dirección IP de los participantes, incluso en el vestíbulo», dice el científico investigador Jiyong Jang. «Eso significa que potencialmente puede recopilar quién podría estar ingresando a la reunión en este momento, y luego puede ver su ubicación desde su dirección IP».

Estos datos podrían usarse para un mayor reconocimiento o en ataques más dirigidos, agrega. La dirección IP era preocupante para los empleados en las oficinas en el hogar, ya que reveló el ISP, la geolocalización y la crimson doméstica de nivel de consumidor, que generalmente son menos seguras que las redes empresariales.

«No todos estamos detrás de los firewalls corporativos y los entornos corporativos», dice Molloy. «Confiamos en la seguridad de los enrutadores domésticos de calidad para el consumidor que su ISP podría haberle proporcionado, donde no sabe si todo está tan bloqueado como debería estar».

Los investigadores pudieron demostrar el problema «fantasma» en macOS, Home windows y la versión iOS de las aplicaciones Webex Meetings y el dispositivo Webex Room Package. Técnicamente, dice Jang, «no es demasiado difícil» realizar este ataque las herramientas necesarias se usan comúnmente en competencias de captura de bandera o entre probadores de penetración, señala.

Los parches disponibles hoy en día deben aplicarse, pero los investigadores compartieron algunas de las soluciones que adoptaron mientras se estaban trabajando. Los equipos de IBM comenzaron a bloquear las reuniones en cero minutos, dice Molloy, después de lo cual los asistentes deben ser admitidos manualmente por el anfitrión. Aconseja estar atento a los asistentes externos que puedan parecer sospechosos o a los números de teléfono aleatorios.

«Aprendimos qué precauciones tomar. Cambiamos nuestros propios hábitos internos y comenzamos a bloquear nuestras reuniones lo mejor que pudimos», dice Molloy.

Jang sugiere bloquear las reuniones con un código de acceso, que los atacantes también necesitarían para aprovechar estas vulnerabilidades. Los equipos de IBM también comenzaron a programar reuniones con ID únicos en lugar de salas de reuniones personales, que son «fácilmente repetibles pero fáciles de adivinar», agrega Molloy.

Kelly Sheridan es la editora de particular de Darkish Reading through, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic