سیسکو هفتهی گذشته به مشتریان اطلاع داد که یک آسیبپذیری را وصله کرده است که به کاربران غیرمجاز اجازه میداد تا به جلسات webex بدون رمز بپیوندند. سیسکو بیان کرد که این آسیبپذیری مورد بهرهبرداری قرار گرفته است.
این آسیبپذیری که با شناسهی CVE-2020-3142 ردیابی و با شدت بالا ارزیابی میشود، وبگاههای Webex Meetings Suite و Webex Meetings online Suite سیسکو، نسخههای قبل از نسخهی ۳۹٫۱۱٫۵ و ۴۰٫۱٫۳ را تحت تأثیر قرار داده است. بااینحال سیسکو بیان میکند که این وصلهها تنها در وبگاهها اعمال میشود و لازم نیست که کاربران برنامههای Webex Meetings دسکتاپ یا تلفن همراه خود را بهروزرسانی کنند.
بهگفتهی سیسکو، این آسیبپذیری به یک مهاجم احراز هویتنشده اجازه میدهد تا بدون نیاز به وارد کردن رمز، به جلسات دارای رمز بپیوندند. برای دور زدن احراز هویت، مهاجم باید اتصال را از نسخههای iOS یا اندروید برنامهی تلفن همراه webex آغاز کند.
سیسکو در مشاورهنامهی خود بیان میکند که این آسیبپذیری ناشی از قرار گرفتن اطلاعات جلسه در روند پیوستن به یک جلسهی خاص در برنامههای تلفن همراه است. یک کاربر غیرمجاز با دسترسی به یک شناسهی جلسهی شناختهشده یا آدرس اینترنتی جلسه از مرورگر وب تلفن همراه میتواند از این آسیبپذیری بهرهبرداری کند. سپس مرورگر درخواست خواهد کرد که برنامهی تلفن همراه، Webex دستگاه را راهاندازی کند.
این غول شبکه خاطرنشان کرد که با اینکه یک مهاجم میتواند به یک جلسهی دارای رمز بپیوندد، اما توسط سایر کاربران حاضر در جلسه مشاهده میشود. این آسیبپذیری در حین حل یک مورد پشتیبانی کشف شد و سیسکو معتقد است که هنوز بهصورت عمومی افشا نشده است. بااینحال، این مشاورهنامه بیان میکند که Cisco PSIRT از استفادهی فعال از این آسیبپذیری اطلاع دارد.
سیسکو بیان کرد که برخی از مشتریان از این آسیبپذیری برای دسترسی به جلسات خود استفاده کردهاند و این شرکت از بهرهبرداری از این آسیبپذیری توسط کاربران احراز هویتنشده که از برنامهی تلفن همراه برای دسترسی غیرمجاز به قابلیت صوتی Webex استفاده میکنند، اطلاع دارد.
سخنگوی سیسکو بیان میکند که سیسکو بهروزرسانیهایی برای رفع این آسیبپذیری اعمال کرده است، بنابراین بهرهبرداری بیشتر امکانپذیر نیست. شفافیت در سیسکو یک موضوع بسیار مهم است. زمانیکه مسائل امنیتی به وجود میآیند، سیسکو آنها را با صراحت و سریع مدیریت میکند، درنتیجه مشتریان، آن مسأله و نحوهی رفع آن را میدانند.