Upozornenie: Stretnutia Cisco Webex, Zoom sú otvorené pre snooperov, preto používajte heslá

Spoločnosť Cisco varovala používateľov svojho podnikového konferenčného systému Webex pred automatizovaným online útokom technika, ktorá by umožnila komukoľvek pripojiť sa k schôdzi a počúvať, čo by malo byť súkromné rozhovor.

Spoločnosť zverejnila „informačné poradenstvo“ o „enumeračnom útoku“ Cisco Webex Meetings, ktorý odkazuje na metódu, pri ktorej môže útočník v podstate uhádnuť číselný identifikátor, ktorý umožňuje zamýšľaným účastníkom pripojiť sa k schôdzi Webex.

Spôsob útoku bol identifikovaný spoločnosťou Cequence Security, ktorá varovala spoločnosť Cisco, že jedna z jej aplikácií Webex Volania protokolového rozhrania (API) umožňujú útočníkovi vymenovať čísla stretnutí pre prístup k prebiehajúcim alebo budúcim stretnutia.

POZRITE SI: Je možné zastaviť ruských hackerov? Tu je dôvod, prečo to môže trvať 20 rokov (titulný príbeh TechRepublic) | Stiahnite si verziu PDF

Dopad na používateľa je taký, že útočník môže zistiť, kedy sa určité číslo stretnutia používa a či stretnutie vyžaduje na pripojenie heslo.

To by mohla byť zlá správa pre každého, kto očakáva, že konverzácia bude súkromná. Cisco však nevydalo opravu na vyriešenie problému, čo naznačuje, že nejde o zraniteľnosť, ale o problém s konfiguráciou. Ponúkol však odporúčania, aby sa zabezpečilo, že útočníci môžu toto API zneužiť.

Cequence Security, americká spoločnosť zameraná na bezpečnosť aplikácií, podrobne popísala to, čo nazýva „zranitelnosť zvedavého oka“, ktorá tiež ovplyvňuje spoločnosť pre spoluprácu v oblasti videa Zoom.

Zoom mala IPO v apríli a v júli po ňom vyvolal rozruch Zdá sa, že ignoruje legitímnu správu o chybe, že jej webový server vystavil používateľov počítačov Mac vzdialeným útokom.

„Zraniteľnosť Prying-Eye je príkladom enumeračného útoku, ktorý sa zameriava na rozhrania API pre webové konferencie s robotom, ktorý cyklicky prechádza (vypočítava) a objavuje platné číselné ID schôdzí,“ Cequence vysvetlené v blogovom príspevku.

"Ak sa dodrží bežná používateľská prax zakázania bezpečnostnej funkcie alebo nepridelenia hesla, zlý aktér bude môcť sledovať alebo počúvať aktívne stretnutie." 

Aby sa účastníkom uľahčilo pripojenie, tí, ktorí organizujú schôdzu, od nich často nevyžadujú heslo. Ak však spoločnosti vedia, že konverzácia môže zahŕňať výmenu citlivých informácií, mohlo by byť pre nich rozumné chrániť stretnutie heslom.

POZRITE SI: Inteligentný domáci výrobca uniká dáta zákazníkov, heslá zariadení

V prípade spoločnosti Cisco Webex Meetings používa deväťmiestny identifikátor, ktorý môžu účastníci použiť na pripojenie k schôdzi zo smartfónov a počítačov. Poznamenáva, že potenciálny bezpečnostný problém väčšinou ovplyvňuje stretnutia, ktoré nie sú chránené heslom.

„Ak by sa útočník mal pripojiť k schôdzi pomocou týchto informácií, stále by bol uvedený ako účastník a hostiteľ by ho mohol vylúčiť,“ Cisco hovorí.

"Pri stretnutiach chránených heslom by útočník mohol obnoviť číslo stretnutia, ale nemohol by odhaliť názov stretnutia, plán alebo názov hostiteľa, ani by sa nemohol k schôdzi pripojiť."

Spoločnosť poznamenáva, že predvolená konfigurácia vyžaduje, aby používatelia používali heslo pri nastavovaní stretnutia.

Webex tiež ponúka predvolené, náhodne generované heslo pri nastavovaní stretnutia na stránkach, ktoré nevyžadujú ochranu heslom. Zákazníci sa môžu zbaviť náhodne vygenerovaného hesla a zdieľať jednoduchšie, používateľom vytvorené heslo alebo vypnúť ochranu heslom, ak to stránka umožňuje.