Utenti fantasma nei meeting di Webex: gravi vulnerabilità risolte

Cisco e IBM risolvono gravi vulnerabilità di Webex

Malintenzionati erano in grado di entrare di nascosto nei meeting e di rimanervi senza essere notati dagli organizzatori né dagli altri partecipanti.
Cisco e IBM risolvono gravi vulnerabilità di Webex
Malintenzionati erano in grado di entrare di nascosto nei meeting e di rimanervi senza essere notati dagli organizzatori né dagli altri partecipanti.

Grazie alla collaborazione con i ricercatori di IBM, gli sviluppatori di Cisco impegnati sulla piattaforma Webex sono stati in grado di porre rimedio a tre gravi vulnerabilità che hanno afflitto il servizio. Potenzialmente a rischio la privacy di chi ha preso parte alle riunioni e la tutela delle informazioni discusse o condivise nel corso dei meeting.

Webex e utenti fantasma: risolte tre gravi vulnerabilità

Le falle sono state identificate come CVE-2020-3441, CVE-2020-3471 e CVE-2020-3419. Di fatto permettevano a malintenzionati di accedere agli incontri come utenti fantasma ovvero senza essere notati né dagli organizzatori né dagli altri partecipanti. Ancora, consentivano di continuare ad ascoltare l’audio delle conversazioni anche dopo essere stati espulsi e di ottenere dettagli sulle conferenze senza nemmeno dovervi entrare. Nel filmato di seguito una dimostrazione.

https://www.youtube.com/watch?v=YNn59MnQsiE

L’exploit sfruttato prendeva di mira la trasmissione tra il client di Webex e i server gestiti da Cisco, manipolando una richiesta inviata tramite WebSocket. Il consiglio per gli utenti è ovviamente quello di procedere il prima possibile al download e all’installazione degli aggiornamenti rilasciati oggi dalla software house.

Webex di Cisco

Non è la prima vulnerabilità scovata nel servizio, uno dei più impiegati in questo periodo per lo smart working. A inizio novembre è toccato a un altro problema che ha preso di mira il client disponibile per computer con sistema operativo Windows 10: consentiva di eseguire codice con i privilegi dell’utente attivo dopo aver messo a segno con successo l’attacco.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
19 nov 2020
Link copiato negli appunti