Une faille Webex permet de rejoindre les réunions privées

Cisco a patché une vulnérabilité importante dans sa plateforme de vidéoconférence Webex. Cette faille de sécurité permettait de rejoindre des réunions privées sans authentification.

Un attaquant distant n’aurait pas eu besoin d’être authentifié pour exploiter cette faille de sécurité, selon Cisco. Il a seulement besoin d’avoir le numéro d’identifiant de la réunion et une application mobile Webex sur iOS ou Android.

webex

“Un participant sans autorisation peut exploiter cette vulnérabilité en accédant à l’identifiant connu de la réunion ou à l’URL de la réunion depuis le navigateur web de son appareil mobile,” a expliqué Cisco dans le rapport. Ensuite, l’intrus peut accéder à la réunion avec l’application Webex sans avoir besoin d’entrer de mot de passe.

“La vulnérabilité est causée par l’exposition involontaire des informations concernant les réunions dans le flux de jointure de réunion spécifique pour les applications mobiles,” a déclaré Cisco. “Un participant non autorisé peut exploiter cette vulnérabilité en accédant à l’identifiant de la réunion ou à l’URL de la réunion depuis le navigateur web d’un appareil mobile.”

Le point négatif de cette attaque est que les participants qui rejoignent la réunion sans autorisation seront visibles dans la liste des participants de la réunion comme tout les autres participants. Ils pourront donc être détecté par les autres participants de la réunion. Cependant, si les autres ne prêtent pas vraiment attention à la liste des participants, l’intrus passera inaperçu et pourra espionner la conversation.

Les produits affectés sont Cisco Webex Meetings Suite et Cisco Webex Meetings Online pour les versions antérieures à 39.11.5 (pour le premier) et 40.1.3 (pour le deuxième). Cisco a patché cette vulnérabilité dans les versions 39.11.5 et 40.1.1 de Cisco Webex Meetings Suite et Cisco Webex Meetings Online.

Comment se protéger de cette nouvelle faille de sécurité de Webex?

Aucune action des usagers n’est requise pour la mise à jour, selon Cisco. Cependant, les utilisateurs peuvent vérifier que leur plateforme Cisco Webex est à jour en:

  • Se connectant au site de Cisco Webex Meetings Suite ou au site de Cisco Webex Meetings Online et en naviguant vers Téléchargements sur le côté gauche de la page
  • A côté de Information de Version, aller sur le i encerclé
  • Vérifiez la valeur afficher à côté de la version de la page

La faille (CVE-2020-3142) a un score CVSS de 7,5 sur 10. Elle a été découverte en interne durant la résolution d’un cas de support Cisco TAC.

“Le PSIRT(Equipe de réponse d’incidents de sécurité des produits Cisco) n’est au courant d’aucune annonce public concernant la vulnérabilité décrite dans ce rapport,” selon Cisco.

Des failles critiques et importantes concernant la plateforme Webex de Cisco continuent d’être découvertes. Nous vous informions il y’a quelques semaines d’une vulnérabilité qui permettait à un hacker d’exécuter des commandes à distance.

D’autres applications de vidéoconférence sont aussi concernés par des failles de sécurité. Par exemple, l’application Zoom a été touché par deux vulnérabilités (dont une d’exécution de code à distance) il y’a quelques mois.

C’est donc une nouvelle mise à jour de sécurité déployée par Cisco en très peu de temps. Le géant américain avait adressé 27 failles dans son outil de gestion administrative pour les solutions de sécurité de réseaux Cisco. Un peu plus tôt le mois dernier, Cisco a adressé deux failles de sécurité dans ses produits, y compris une autre faille qui concernait la plateforme de vidéoconférence Webex et qui permettait d’exécuter des commandes à distance. Ils avaient aussi patché trois vulnérabilités critiques (CVE-2019-15975, CVE-2019-15976, CVE-2019-15977) dans leur Data Center Network Manager (DCNM), un exploit preuve de concept avait été publié pour ces failles.

Si cet article vous a plu, jetez un œil à notre article précédent.

Poster un Commentaire

avatar
  S’abonner  
Notifier de