安全動態(tài)

IBM披露思科Webex的三個高危漏洞 以“幽靈”身份加入視頻會議

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2020-11-23    瀏覽次數(shù):
 

信息來源:Cnbeta

伴隨著新冠疫情肆虐,越來越多的員工開始通過遠程辦公的方式進行線上協(xié)作、視頻會議。而遠程辦公的激增,也暴露了諸多安全性和數(shù)據(jù)保密性問題。

這些漏洞不僅能夠讓攻擊者秘密地加入會議,甚至在被“驅(qū)逐”之后仍然可以作為音頻參與者留在會議中。攻擊者甚至可以在不進入呼叫的情況下從大廳獲得有關(guān)會議與會者的詳細信息。

雖然當這些攻擊者加入到會議中依然會觸發(fā)蜂鳴聲,但如果這次會議中有很多與會者,那么就非常容易被忽略。IBM 表示在發(fā)現(xiàn)該漏洞的同時,還發(fā)現(xiàn)可以通過特殊的 URL 地址來影響已經(jīng)設(shè)定的會議和會議安排。

該漏洞可以發(fā)生在客戶端和服務(wù)器之間的“握手”過程中。由于“不正確的輸入驗證和清理”,攻擊者可以操縱通過WebSocket發(fā)送的請求(客戶端與服務(wù)器之間的連接),并將特殊設(shè)計的值注入到請求中以作為虛擬主機加入。研究人員成功地測試了這些場景,并且可以參加會議且不會出現(xiàn)在與會人員列表中,也不會被發(fā)現(xiàn)。

IBM說,由于問題的嚴重性和緊迫性,它立即與Cisco共享了其發(fā)現(xiàn)的細節(jié)。這家網(wǎng)絡(luò)公司致力于修復上述漏洞,并于今天發(fā)布了安全公告。這三個錯誤分別被標記為CVE-2020-3441, CVE-2020-3471, CVE-2020-3419,并已成功修復。由于此問題影響了大多數(shù)平臺上的Webex客戶端,因此該公司建議用戶將其應用程序更新到最新版本。

 
 

上一篇:2020年11月20日聚銘安全速遞

下一篇:申通回應“快遞用戶信息遭販賣”報道:組織安全小組調(diào)查