"רוחות רפאים" בפלטפורמת שיחות הווידיאו וובקס
חוקרי יבמ מצאו פרצה המאפשרת כניסת משתתפים "שקופים" לשיחות, וכך אורחים לא קרואים יכולים להצטרף, מבלי שמשתתפי המפגש ידעו שהם לוקחים בו חלק ● לאחר שנכנסו, ל"רוחות הרפאים" יש גישה מלאה ליכולות שמע, וידיאו, שיתוף מסך וצ'אט
אמנם ליל כל הקדושים היה בחודש שעבר, אך חוקרי יבמ (IBM) חשפו אתמול (ד') שהם גילו דרך שרוחות רפאים יכולות לרדוף אחרי פגישות סיסקו וובקס (Cisco Webex). הפרצה בפלטפורמת שיחות הווידיאו מאפשרת לאורחים לא קרואים להצטרף לפגישה, וזאת מבלי להופיע ברשימת המשתתפים. עוד הם יכולים להישאר בפגישה, גם לאחר שהמארח הסיר אותם – ולאסוף מידע על משתתפים אחרים מבלי להצטרף.
כאשר מדברים על אורחים לא רצויים, לרוב זה נעשה בהקשר למתחרה הפופולרית, זום (Zoom), מה שמוכר "זום-בומבינג" (Zoom-bombing) – וגם הם, כמובן, מנסים להילחם בתופעה. אולם המחקר של יבמ העלה כיוון שהתופעה מתרחשת ברוב השיחות שמתקיימות ברשת בשל המגיפה, ושזום איננה לבד. וובקס רשמה שיא של 324 מיליון משתמשים בחודש מרץ השנה, וראתה שהשימוש גדל ב-451% מאמצע פברואר עד אמצע יוני.
"מצאנו כי פולשים יכולים לנצל את תהליך 'לחיצת היד', בו המערכת מחברת בין משתתפי הפגישה", כתבו חוקרי הענק הכחול. "פולש זדוני עלול להפוך לרוח רפאים, על ידי מניפולציה בהודעות אלה, במהלך תהליך לחיצת היד – בין יישום הלקוח של וובקס לבין ה-back-end של שרת וובקס, כדי להצטרף לפגישה או להישאר בלי להיראות על ידי אחרים". לאחר שנכנסו, ל"רוחות הרפאים" יש גישה מלאה ליכולות שמע, וידיאו, שיתוף מסך וצ'אט. הם גם יכולים לעבור למצב 'בלתי נראה', כדי להישאר בפגישה עם יכולות שמע – אם המארח ינסה לגרש אותם.
סיסקו: לא מודעים לניצול של הפגיעות
"איך תדע שהם באמת נעלמו? מתברר שבגלל הפרצה הזו קשה מאוד לדעת", כתבו החוקרים בפוסט בבלוג החברה. "לא רק שתוקף יכול להצטרף לפגישות שלא זוהה, או להיעלם תוך שמירה על קישוריות שמע – אלא הוא גם יכול פשוט להתעלם מ'צו הגירוש' של המארח, להישאר בפגישה ולשמור על חיבור השמע. יתר על כן, הפולשים יוכלו לקצור את השמות, המיילים, כתובות ה-IP – ומידע אחר על פגישת משתתפים – גם בלא אישור".
מסיסקו נמסר כי "ב-18 בנובמבר פרסמה סיסקו המלצות אבטחה יחד עם תוכנה קבועה, לשלוש נקודות תורפה בדרגת חומרה בינונית ב-Cisco Webex Meetings וב-Cisco Webex Meetings Server. הבעיות נפתרו בענן של סיסקו וובקס, ותוכנה קבועה זמינה עבור אותם לקוחות עם פריסות מותאמות אישית. הייעוץ והתיקונים בנושא אבטחה מתפרסמים כחלק מתהליך גילוי הפגיעות האבטחתי שלנו, וצוות התגובה לאירועים שלנו, סיסקו PSIRT, אינו מודע לשימוש זדוני שנעשה בפגיעויות המתוארות".
תגובות
(0)