شرکت تولیدکنندهی تجهیزات شبکهی سیسکو، از اضافهشدن ویژگیهای امنیتی جدید و وصلهی چندین آسیبپذیری با شدت بالا در نرمافزار کنفرانس ویدئویی Webex خود خبر داد.
سیسکو با انتشار این خبر، اعلام کرد که ویژگیهای data loss prevention (DLP)، Legal Hold و eDiscovery را به Webex Meetings گسترش داده است. به گفتهی سیسکو، با اضافهشدن این ویژگیها سطح امنیتی و حفاظتی بیسابقهای برای تمامی محتوای جلسات فراهم میشود. این شرکت همچنین با هدف افزایش محافظت از دادههای جلسات در برابر دستکاری، بهدنبال گسترش گزینههای رمزنگاری انتها به انتهای خود برای گنجاندن رمزنگاری AES 256 Bit با حالت GCM در آن است.
علاوهبراین، سیسکو چندین مشاورهنامهی امنیتی را برای آسیبپذیریهای موجود در Webex منتشر کرده است. سه مورد از این آسیبپذیریها با شدت بالا و یک مورد، با شدت متوسط طبقهبندی شدهاند.
یکی از آسیبهای با شدت بالا که با شناسهی CVE-2020-3361 ردیابی میشود، به مهاجم راه دور و تأییدنشده اجازه میدهد تا با ارسال درخواستهای خاص طراحیشده، بهصورت غیرمجاز به یک وبسایت Webex دسترسی پیدا کند. این آسیبپذیری وبسایتهای Webex Meetings و سرور Webex Meetings را تحت تأثیر قرار میدهد.
یکی دیگر از آسیبپذیریها که با شناسهی CVE-2020-3263 ردیابی میشود، در برنامهی دسکتاپ Webex Meetings شناسایی شده است. این آسیبپذیری میتواند به یک مهاجم راه دور و تأییدنشده اجازه دهد تا با متقاعدکردن قربانی برای کلیککردن بر روی یک URL مخرب، برنامههای دلخواهی را که بر روی سیستم هدف موجود هستند، اجرا کند. به گفتهی سیسکو، درصورتی که فایلهای مخرب بر روی سیستم یا در مسیر دسترسی به فایل شبکه قرار گیرند، مهاجم میتواند كد دلخواه خود را بر روی سیستم آسیبدیده اجرا كند.
از سوی دیگر، برنامهی دسکتاپ Webex Meetings برای سیستم عامل Mac نیز تحت تأثیر یک آسیبپذیری قرار دارد که شناسهی CVE-2020-3342 به آن اختصاص داده شده است. این آسیبپذیری به مهاجم راه دور و تأییدنشده اجازه میدهد تا با سوءاستفاده از ویژگی بهروزرسانی نرمافزار و متقاعدکردن قربانی برای دسترسی به یک وبسایت مخرب، كد دلخواه خود را بر روی سیستم هدف اجرا كند. این وبسایت مخرب، فایلهای مشابه با فایلهای میزبانیشده بر روی وبسایت قانونی Webex را ارائه میدهد.
محققان همچنین دریافتند که نسخهی ویندوز برنامه Webex Meetings نیز آسیبپذیر است. این آسیبپذیری به مهاجمی که به سیستم هدف دسترسی دارد، اجازه میدهد تا نامهای کاربری، اطلاعات جلسات و توکنهای احراز هویت را از حافظه بدست آورد. پس از دستیابی به این توکنها، مهاجم میتواند آنها را مانند هر گواهینامهی دیگری برای ورود به حساب کاربری مورد نظر در WebEx، دانلود Recordings و مشاهده/ویرایش جلسات مورد استفاده قرار دهد.
سیسکو اخیرا از وصلهی چند آسیبپذیری با شدت بالا در محصول TelePresence و مسیریابهای سری Small Business RV نیز خبر داده است. درحالیکه این نقصها میتوانند از راه دور مورد بهرهبرداری قرار بگیرند، اما برای این منظور، به احراز هویت و در مسیریابها، به امتیازهای مدیریتی نیاز است. به گفتهی سیسکو، هیچ مدرکی مبنیبر بهرهبرداری از آسیبپذیریهای وصلهشده در دنیای واقعی وجود ندارد.