Grazie alla collaborazione con i ricercatori di IBM, gli sviluppatori di Cisco impegnati sulla piattaforma Webex sono stati in grado di porre rimedio a tre gravi vulnerabilità che hanno afflitto il servizio. Potenzialmente a rischio la privacy di chi ha preso parte alle riunioni e la tutela delle informazioni discusse o condivise nel corso dei meeting.
Webex e utenti fantasma: risolte tre gravi vulnerabilità
Le falle sono state identificate come CVE-2020-3441, CVE-2020-3471 e CVE-2020-3419. Di fatto permettevano a malintenzionati di accedere agli incontri come utenti fantasma ovvero senza essere notati né dagli organizzatori né dagli altri partecipanti. Ancora, consentivano di continuare ad ascoltare l’audio delle conversazioni anche dopo essere stati espulsi e di ottenere dettagli sulle conferenze senza nemmeno dovervi entrare. Nel filmato di seguito una dimostrazione.
https://www.youtube.com/watch?v=YNn59MnQsiE
L’exploit sfruttato prendeva di mira la trasmissione tra il client di Webex e i server gestiti da Cisco, manipolando una richiesta inviata tramite WebSocket. Il consiglio per gli utenti è ovviamente quello di procedere il prima possibile al download e all’installazione degli aggiornamenti rilasciati oggi dalla software house.
Non è la prima vulnerabilità scovata nel servizio, uno dei più impiegati in questo periodo per lo smart working. A inizio novembre è toccato a un altro problema che ha preso di mira il client disponibile per computer con sistema operativo Windows 10: consentiva di eseguire codice con i privilegi dell’utente attivo dopo aver messo a segno con successo l’attacco.