Une faille de Webex permet d’espionner les réunions

0

Une vulnérabilité dans l’application de conférence Webex de Cisco pourrait permettre à un participant d’agir comme un «fantôme» lors de la réunion, ce qui lui permettrait d’espionner des secrets d’entreprise potentiellement sensibles.

Pour exploiter la faille (CVE-2020-3419), les attaquants peuvent être distants, cependant, ils auraient besoin d’un accès pour rejoindre les réunions Webex, y compris les liens pour «rejoindre» et les mots de passe applicables. Pour cette raison, la faille n’est considérée que de gravité moyenne par Cisco, avec une note de 6,5 sur 10 sur l’échelle CVSS. Cependant, les implications pratiques sont importantes lorsque l’on considère les informations qu’un «fantôme» pourrait obtenir lors d’une réunion ou il ou elle était supposé(e) être absent(e).

Une fois qu’ils ont accès aux réunions, un attaquant peut exploiter la faille en envoyant des requêtes spécialement conçues à un site Cisco Webex Meetings ou Cisco Webex Meetings Server vulnérable. L’individu malveillant pourrait alors exploiter cette vulnérabilité pour rejoindre des réunions, sans apparaître dans la liste des participants, leur donnant un accès complet aux fonctionnalités audio, vidéo, de chat et de partage d’écran.

«Avec cette faille, un fantôme pourrait rester dans une réunion sans être vu par les autres, même après avoir été expulsé par l’hôte, ce qui rend cette pratique particulièrement problématique», ont déclaré des chercheurs d’IBM dans une analyse. «Nous avons identifié que nous pouvions maintenir la communication audio bidirectionnelle opérationnelle pendant qu’un serveur pensait que la connexion d’un participant était interrompue, ce qui signifie que le participant a disparu du panneau des participants et est devenu un fantôme.»

webex

Cette vulnérabilité est due à une mauvaise gestion des jetons d’authentification par un site Webex vulnérable. Il a affecté tous les sites Cisco Webex Meetings avant le 17 novembre 2020 et toutes les applications Cisco Webex Meetings versions 40.10.9 et antérieures pour iOS et Android.

La faille affecte également Cisco Webex Meetings Server versions 3.0MR Security Patch 4 et versions antérieures, et 4.0MR3 Security Patch 3 et versions antérieures.

«Cisco a corrigé cette vulnérabilité le 17 novembre 2020 sur les sites Cisco Webex Meetings, qui sont basés sur le cloud», selon Cisco. « Aucune action de l’utilisateur n’est requise. »

Cisco a déclaré qu’il était au courant des annonces publiques de la vulnérabilité – mais jusqu’à présent, ils n’ont pas encore repéré d’exploits dans la nature. Les failles viennent du fait que des outils de collaboration – comme Webex, Zoom ou Skype – font face à une utilisation explosive en raison de la pandémie de coronavirus.

Deux autres failles dans Cisco Webex ont également été découvertes par des chercheurs d’IBM – dont une (CVE-2020-3441) permettant à un attaquant distant non authentifié d’afficher des informations Webex sensibles à partir du hall de la salle de réunion, et une autre (CVE-2020-3471) permettant aux individus malveillants de maintenir la connexion audio d’une session Webex malgré leur expulsion.

Des failles critiques de Cisco en plus de la faille Webex

Cisco a également découvert trois vulnérabilités de gravité critique. L’un de ces problèmes est un problème dans le sous-système API de Cisco Integrated Management Controller (IMC) qui pourrait permettre à un attaquant distant non authentifié d’exécuter du code arbitraire avec les privilèges root.

Cisco IMC est un contrôleur de gestion de carte de base qui fournit une gestion de serveur intégrée pour les serveurs rack Cisco UCS C-Series et les serveurs de stockage Cisco UCS S-Series – permettant la gestion du système dans le centre de données et dans les succursales distribuées.

«Un attaquant pourrait exploiter ces vulnérabilités en envoyant une requête HTTP spécialement conçue au sous-système API d’un système affecté», selon Cisco. «Lorsque cette demande est traitée, une condition de dépassement de mémoire tampon exploitable peut se produire. Un exploit réussi pourrait permettre à l’attaquant d’exécuter du code arbitraire avec les privilèges root sur le système d’exploitation sous-jacent. »

cisco

La deuxième faille critique existe dans l’interface de gestion Web de Cisco DNA Spaces Connector et pourrait permettre à un attaquant distant non authentifié d’exécuter des commandes arbitraires sur un périphérique affecté.

Cisco DNA Spaces est une application cloud de gestion des tâches, sensible à la localisation. Le connecteur aide les utilisateurs à connecter les espaces DNA dans leur environnement.

«Un exploit réussi pourrait permettre à l’attaquant d’exécuter des commandes arbitraires sur le système d’exploitation sous-jacent avec les privilèges de l’application de gestion Web, qui fonctionne en tant qu’utilisateur restreint», selon Cisco.

Enfin, Cisco a corrigé un problème dans l’API REST de Cisco IoT Field Network Director (FND) – son système de gestion de réseau pour le déploiement du FAN à grande échelle – qui pouvait permettre à un attaquant distant non authentifié d’accéder à la base de données principale d’un système affecté. Un exploit réussi pourrait permettre à l’attaquant d’accéder à la base de données principale du périphérique affecté et de lire, modifier ou supprimer des informations, selon Cisco.

La dernière série de correctifs survient après que Cisco ait précipité un correctif pour une vulnérabilité critique dans son gestionnaire de sécurité, après la publication du code d’exploitation de la preuve de concept. Et, récemment, le géant des réseaux a mis en garde contre une faille très grave dans le logiciel IOS XR de Cisco qui pourrait permettre à des attaquants distants non authentifiés de paralyser les routeurs Cisco Aggregation Services (ASR). Cisco a également récemment révélé une vulnérabilité zero-day dans les versions Windows, macOS et Linux de son logiciel client AnyConnect Secure Mobility.

Laisser un commentaire