IBM披露思科Webex的三个高危漏洞 以“幽灵”身份加入视频会议
伴随着新冠疫情肆虐,越来越多的员工开始通过远程办公的方式进行线上协作、视频会议。而远程办公的激增,也暴露了诸多安全性和数据保密性问题。IBM 的研究人员近日对热门应用--思科 Webex 进行了测试,发现该服务存在三个漏洞。这些漏洞能够让攻击者以“Ghost”身份加入到会议中而不被发现。
这些漏洞不仅能够让攻击者秘密地加入会议,甚至在被“驱逐”之后仍然可以作为音频参与者留在会议中。攻击者甚至可以在不进入呼叫的情况下从大厅获得有关会议与会者的详细信息。
虽然当这些攻击者加入到会议中依然会触发蜂鸣声,但如果这次会议中有很多与会者,那么就非常容易被忽略。IBM 表示在发现该漏洞的同时,还发现可以通过特殊的 URL 地址来影响已经设定的会议和会议安排。
该漏洞可以发生在客户端和服务器之间的“握手”过程中。由于“不正确的输入验证和清理”,攻击者可以操纵通过WebSocket发送的请求(客户端与服务器之间的连接),并将特殊设计的值注入到请求中以作为虚拟主机加入。研究人员成功地测试了这些场景,并且可以参加会议且不会出现在与会人员列表中,也不会被发现。
IBM说,由于问题的严重性和紧迫性,它立即与Cisco共享了其发现的细节。这家网络公司致力于修复上述漏洞,并于今天发布了安全公告。这三个错误分别被标记为CVE-2020-3441, CVE-2020-3471, CVE-2020-3419,并已成功修复。由于此问题影响了大多数平台上的Webex客户端,因此该公司建议用户将其应用程序更新到最新版本。