La falla podría permitir que un atacante remoto no autenticado ingrese a una reunión de videoconferencia protegida con contraseña.
Cisco Systems ha solucionado una vulnerabilidad de alta gravedad en su popular plataforma de videoconferencia Webex, que podría permitir que extraños intervengan en reuniones protegidas por contraseña, sin necesidad de autenticación.
Según Cisco, un atacante remoto no necesitaría ser autenticado para explotar la falla. Todo lo que un atacante necesitaría es la ID de la reunión y una aplicación móvil Webex para iOS o Android. Después de que los atacantes ingresan la ID de la reunión en su aplicación móvil Webex, el navegador solicita iniciar la aplicación móvil Webex del dispositivo, lo que les permite ingresar a la reunión, sin una contraseña.
"La vulnerabilidad se debe a la exposición involuntaria de información de la reunión en un flujo específico para aplicaciones móviles", dijo Cisco en un aviso el viernes . "Un asistente no autorizado podría aprovechar esta vulnerabilidad accediendo a una ID de reunión conocida o URL de reunión desde el navegador web del dispositivo móvil".
Una advertencia al ataque es que los asistentes no autorizados serían visibles en la lista de asistentes de la reunión como asistentes móviles, lo que significa que su presencia podría ser detectada por otros en la reunión. Sin embargo, si no se detecta, un atacante podría espiar los detalles de una reunión de negocios potencialmente secretos o críticos.
Los sitios de Cisco Webex Meetings Suite y los sitios de Cisco Webex Meetings Online vulnerables se ven afectados por versiones anteriores a la 39.11.5 (para la primera) y 40.1.3 (para la segunda).
Cisco corrigió esta vulnerabilidad en las versiones 39.11.5 y posteriores y 40.1.3 y posteriores para los sitios de Cisco Webex Meetings Suite y los sitios de Cisco Webex Meetings Online.
No se requiere interacción del usuario para la actualización, según Cisco. Sin embargo, los usuarios pueden verificar que su plataforma Cisco Webex esté actualizada:
- Inicie sesión en el sitio de Cisco Webex Meetings Suite o en el sitio de Cisco Webex Meetings Online y navegue a Descargas en el lado izquierdo de la página.
- Junto a Información de la versión, coloca el cursor sobre la i dentro del circulo marcado.
- Verifique el valor que se muestra junto a la versión de la página.
La falla (CVE-2020-3142), que tiene un puntaje CVSS de 7.5 de 10, se encontró internamente durante la resolución de un caso de soporte de Cisco TAC.
"El Equipo de respuesta a incidentes de seguridad de productos de Cisco (PSIRT) no tiene conocimiento de ningún anuncio público de la vulnerabilidad que se describe en este aviso", según Cisco.
Las fallas críticas y de alta severidad continúan apareciendo para la plataforma Webex de Cisco, incluida una parcheada hace solo unas semanas que podría permitir que un atacante remoto ejecute comandos, así como aplicaciones de videoconferencia en general. En 2018, por ejemplo, se descubrió una vulnerabilidad grave en la aplicación de conferencia de escritorio de Zoom que podría permitir a un atacante remoto secuestrar los controles de pantalla y expulsar a los asistentes de las reuniones.
Esta también es solo la última actualización de seguridad emitida esta semana por Cisco: el gigante de las telecomunicaciones lanzó el miércoles actualizaciones que abordan 27 fallas , incluida una falla crítica en su herramienta de administración administrativa para las soluciones de seguridad de red de Cisco. A principios de este mes, Cisco corrigió dos vulnerabilidades de alta gravedad en sus productos, incluida una en su popular plataforma de videoconferencia Webex, que podría permitir a un atacante remoto ejecutar comandos. También a principios de enero, Cisco parchó tres vulnerabilidades críticas (CVE-2019-15975, CVE-2019-15976, CVE-2019-15977) en su Data Center Network Manager (DCNM), para la cual fue publicada más tarde una explotación de prueba de concepto.
Fuente: ThreatPost
0 Comentarios