Cacat Keamanan Platform Conferencing Video Cisco Webex Populer Memungkinkan Pengguna Tidak Terautentikasi Untuk Bergabung dalam Rapat Daring Pribadi
Cacat keamanan dalam platform Konferensi Video Webex yang populer memungkinkan pengguna yang tidak sah atau tidak berkepentingan untuk bergabung dalam rapat online pribadi. Ancaman serius terhadap privasi dan gerbang ke upaya spionase yang berpotensi berhasil ditambal oleh perusahaan induk Webex, Cisco Systems.
Celah lain yang ditemukan dan kemudian ditambal oleh Cisco Systems memungkinkan orang asing yang tidak berwenang untuk menyelinap ke dalam rapat virtual dan pribadi, bahkan yang dilindungi oleh kata sandi, dan penyadapan. Satu-satunya komponen yang diperlukan untuk berhasil melakukan peretasan atau serangan adalah ID rapat dan aplikasi seluler Webex.
Sistem Cisco Menemukan Kerentanan Keamanan Dalam Konferensi Video Webex Dengan Peringkat Keparahan 7,5:
Cacat keamanan dalam Webex dapat dimanfaatkan oleh penyerang jarak jauh tanpa memerlukan otentikasi apa pun, kata Cisco. Penyerang hanya memerlukan ID rapat dan aplikasi seluler Webex. Menariknya, aplikasi seluler iOS dan Android untuk Webex dapat digunakan untuk meluncurkan serangan tersebut, Cisco memberi tahu dalam peringatan hari Jumat,
“Peserta yang tidak sah dapat memanfaatkan kerentanan ini dengan mengakses ID rapat yang diketahui atau URL rapat dari browser web perangkat seluler. Browser kemudian akan meminta untuk meluncurkan aplikasi seluler Webex perangkat. Selanjutnya, penyelundup dapat mengakses rapat tertentu melalui aplikasi Webex seluler, tidak perlu sandi. ”
Cisco telah menemukan akar penyebab cacatnya. “Kerentanan ini disebabkan oleh paparan informasi rapat yang tidak disengaja dalam aliran bergabung rapat tertentu untuk aplikasi seluler. Peserta yang tidak sah dapat memanfaatkan kerentanan ini dengan mengakses ID rapat yang diketahui atau URL rapat dari browser web perangkat seluler. ”
Satu-satunya aspek yang akan mengungkap si penguping adalah daftar hadirin dalam pertemuan virtual. Peserta yang tidak sah akan terlihat di daftar peserta rapat sebagai peserta seluler. Dengan kata lain, keberadaan semua orang dapat dideteksi, tetapi administrator yang menghitung daftar terhadap personel yang berwenang untuk mengidentifikasi orang-orang yang tidak berwenang. Jika tidak terdeteksi, penyerang dapat dengan mudah menguping detail pertemuan bisnis yang berpotensi rahasia atau penting, lapor ThreatPost.
Tim Respons Insiden Keamanan Produk Cisco Menambal Kerentanan Di Webex:
Cisco Systems baru-baru ini menemukan dan menambal kelemahan keamanan dengan skor CVSS 7,5 dari 10. Kerentanan keamanan, yang secara resmi dilacak sebagai CVE-2020-3142, ditemukan selama penyelidikan dan resolusi internal untuk kasus dukungan Cisco TAC lainnya. Cisco telah menambahkan bahwa tidak ada laporan yang dikonfirmasi tentang pemaparan atau eksploitasi cacat, "Tim Respons Insiden Keamanan Produk Cisco (PSIRT) tidak mengetahui pengumuman publik tentang kerentanan yang dijelaskan dalam nasihat ini."
Platform Cisco Systems Webex Video Conferencing yang rentan adalah situs Cisco Webex Meetings Suite dan situs Cisco Webex Meetings Online untuk versi sebelum 39.11.5 (untuk yang pertama) dan 40.1.3 (untuk yang terakhir). Cisco memperbaiki kerentanan di versi 39.11.5 dan yang lebih baru, situs Cisco Webex Meetings Suite dan situs Cisco Webex Meetings Online versi 40.1.3 dan yang lebih baru telah ditambal.