פגיעות בוובאקס של סיסקו ובזום אפשרה לזרים לרגל אחרי פגישות

הפגיעות מסוג 'עין חקרנית' עלולה הייתה לאפשר לפורצים לסרוק אחר מזהי פגישה לא מוגנים ולחמוק לתוך שיחות ועידה של חברות ובכירים

מי השתתף בסתר בשיחות הוועידה שלכם? אילוסטרציה: BigStock

פגיעות שהתגלתה בפלטפורמות שיחות הווידיאו הארגוניות וובאקס של סיסקו ובזום יכולה הייתה לאפשר לתוקפים לחדור אל שיחות שהתנהלו ללא הגנה של סיסמה, וזאת באמצעות סריקה קלה יחסית.

הפגיעות התגלתה כבר במהלך יולי האחרון, אך פורסמה רק עתה, לאחר שהקבוצה שחשפה אותה – קבוצת המחקר לאיומים ראשיים בחטיבת אבטחת היישומים של הסטארט-אפ סיקוונס סקיוריטי – העבירה את המידע לסיסקו ולזום בכדי שאלו יוכלו להכין טלאים מתאימים, כפי שהן אכן עשו.

מדובר בפגיעות מסוג 'עין חקרנית' (Prying-Eye), אותה יכולים תוקפים לנצל כדי להריץ התקפת 'ספירה', בה נעשה שימוש במנגנון אוטומטי בכדי לאתר רצפים נומריים או אלפא-נומריים, המשמשים לזיהוי בעת שיוצרים קשר באפליקציות, כמו למשל בישיבות מרוחקות אשר מתבצעות באמצעות שירותי וידיאו.

באמצעות בוט ניתן לסרוק באופן כזה מספרי פגישות רלוונטיים לשימוש ב-WebEx וב-Zoom, ואם נתקלים במספר ישיבה מתאים, ואין הגנת סיסמה, אפשר לחדור לשיחה כדי להשתתף בה כצופה או כמאזין – אם כי ייתכן שבמקרים מסוימים ההצטרפות תוכרז, כך שלכאורה לפחות ניתן יהיה להבחין בהצטרפות של משתתף שאינו מוזמן.

סיסקו שחררה עדכון ל-API של ביצוע השיחות באמצעות WebEx, והיא ממליצה למנהלים לשמור על הגדרות ברירת המחדל לפיהן נדרש לקבוע סיסמה לכל ישיבה. בזום שחררו בקרות חדשות עם הגדרות לכל רמות קביעת הישיבה, ולא לכל ישיבה בפני עצמה, במטרה לספק למנהלי הישיבות והחשבונות יותר שליטה על סיסמאות הפגישות.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים