Cisco : correction de failles dans WebEx permettant aux participants fantômes d’assister aux réunions
Trois failles dans les réunions Webex – des failles permettant aux attaquants distants non authentifiés de rejoindre des réunions en cours en tant que participants fantômes – ont été corrigées par Cisco. Les trois vulnérabilités Webex Meetings corrigées par Cisco sont référencées : CVE-2020-3441 , CVE-2020-3471 et CVE-2020-3419.
Les failles ont été découvertes grâce aux chercheurs d’IBM dans le cadre d’une évaluation des outils utilisés par leur personnel, pour le travail à distance pendant la pandémie COVID-19. Il est possible de voir les participants fantômes dans la liste des utilisateurs, et ces derniers ont le droit d’accéder à tous les médias de la réunion, même s’ils n’ont pas été invités. Ces failles ont aussi permis aux pirates de rester et de continuer d’assister à la réunion Webex en tant qu’utilisateurs audio fantômes, même lorsqu’ils ont été supprimés de la réunion par les administrateurs. Cela leur permet également d’avoir accès aux données des utilisateurs Webex, incluant aussi des noms complets, des adresses e-mail et des adresses IP.
Les bugs affectent Cisco Webex Meetings et Cisco Webex Meetings Server, et sont présents dans le processus de « prise de contact » permettant l’établissement d’une nouvelle réunion Webex. Les failles ont été exploitées par des experts sur MacOS, Windows et la version iOS des applications Meetings et de l’appliance Webex Room Kit. Une vidéo PoC de l’attaque a aussi été publiée par les experts d’IBM. Cisco a corrigé les sites Cisco Webex Meetings basés sur le cloud et publié des mises à jour de sécurité pour les logiciels sur site afin de remédier aux failles.