인기있는 Cisco Webex 화상 회의 플랫폼 보안 결함으로 인해 인증되지 않은 사용자가 비공개 온라인 미팅에 참여할 수 있음

뉴스
보안 / 인기있는 Cisco Webex 화상 회의 플랫폼 보안 결함으로 인해 인증되지 않은 사용자가 비공개 온라인 미팅에 참여할 수 있음 2 분 읽기

시스코



인기있는 Webex 화상 회의 플랫폼 내의 보안 결함으로 인해 권한이 없거나 인증되지 않은 사용자가 비공개 온라인 미팅에 참여할 수 있습니다. 잠재적으로 성공적인 스파이 시도에 대한 개인 정보 보호 및 게이트웨이에 대한 심각한 위협은 Webex 모회사 인 Cisco Systems에서 패치했습니다.

Cisco Systems에서 발견하고 이후에 패치 한 또 다른 허점은 권한이없는 낯선 사람이 암호로 보호 된 회의 및 도청을 포함하여 가상 및 개인 회의에 몰래 들어가는 것을 허용했습니다. 해킹이나 공격을 성공적으로 풀기 위해 필요한 유일한 구성 요소는 미팅 ID와 Webex 모바일 애플리케이션이었습니다.



Cisco Systems는 심각도 7.5로 Webex 비디오 회의에서 보안 취약성을 발견했습니다.

Cisco는 Webex의 보안 결함이 인증 없이도 원격 공격자가 악용 할 수 있다고 지적했습니다. 공격자는 회의 ID와 Webex 모바일 애플리케이션 만 있으면됩니다. 흥미롭게도 Webex 용 iOS 및 Android 모바일 애플리케이션은 모두 공격을 시작하는 데 사용될 수 있다고 Cisco는 금요일 주의보 ,



“승인되지 않은 참석자는 모바일 장치의 웹 브라우저에서 알려진 회의 ID 또는 회의 URL에 액세스하여이 취약점을 악용 할 수 있습니다. 그러면 브라우저는 장치의 Webex 모바일 응용 프로그램을 시작하도록 요청합니다. 다음으로, 인터 로퍼는 암호가 필요없이 모바일 Webex 앱을 통해 특정 미팅에 액세스 할 수 있습니다. '



Cisco는 결함의 근본 원인을 파악했습니다. “이 취약점은 모바일 애플리케이션의 특정 회의 참여 흐름에서 의도하지 않은 회의 정보 노출로 인해 발생합니다. 권한이없는 참석자는 모바일 장치의 웹 브라우저에서 알려진 회의 ID 또는 회의 URL에 액세스하여이 취약점을 악용 할 수 있습니다. '



도청자를 노출했을 수있는 유일한 측면은 가상 회의의 참석자 목록이었습니다. 권한이없는 참석자는 회의 참석자 목록에 모바일 참석자로 표시됩니다. 즉, 모든 사람의 존재를 감지 할 수 있지만 권한이없는 사람을 식별하기 위해 관리자가 권한있는 사람과 목록을 집계하는 것입니다. 탐지되지 않으면 공격자가 잠재적으로 비밀 스럽거나 중요한 비즈니스 회의 세부 정보를 쉽게 도청 할 수 있다고보고 됨 ThreatPost .

Cisco 제품 보안 사고 대응 팀은 Webex의 취약성을 패치합니다.

Cisco Systems는 최근 보안 결함을 발견하고 패치했습니다. CVSS 점수는 10 점 만점에 7.5 점입니다. 보안 취약점은 공식적으로 다음과 같이 추적됩니다. CVE-2020-3142 , 다른 Cisco TAC 지원 사례에 대한 내부 조사 및 해결 과정에서 발견되었습니다. Cisco는 결함의 노출 또는 악용에 대한 확인 된 보고서가 없다고 덧붙였습니다. 'Cisco Product Security Incident Response Team (PSIRT)은이 권고에 설명 된 취약점에 대한 공개 발표를 알지 못합니다.'

취약한 Cisco Systems Webex 비디오 회의 플랫폼은 Cisco Webex Meetings Suite 사이트 및 39.11.5 (전자의 경우) 및 40.1.3 (후자의 경우) 이전 버전의 Cisco Webex Meetings Online 사이트였습니다. Cisco는 버전 39.11.5 이상에서 취약성을 수정했으며 Cisco Webex Meetings Suite 사이트 및 Cisco Webex Meetings Online 사이트 버전 40.1.3 이상이 패치되었습니다.

태그 시스코