Fallo en Cisco WebEx permitiría el acceso a reuniones privadas
Cisco Systems ha solucionado una vulnerabilidad de alta gravedad en su popular plataforma de videoconferencia WebEx que podría permitir la intervención de extraños en reuniones privadas protegidas por contraseña, sin necesidad de autentificación.
WebEx es un popular servicio que permite realizar reuniones en línea como si se llevaran a cabo de forma presencial, con la posibilidad de compartir documentos, ofrecer presentaciones, mostrar productos y servicios, etc. así como realizar grabaciones de las mismas.
Se ha hecho publico un fallo de seguridad en Cisco WebEx que podría permitir que un atacante remoto no autentificado ingresase en una reunión de videoconferencia protegida con contraseña. El problema se debe a la exposición involuntaria de información de la reunión en un flujo de unión a la reunión que es específico para aplicaciones móviles. Por tanto los únicos requisitos para poder aprovechar la vulnerabilidad son conocer la ID o URL de la reunión y disponer de la aplicación WebEx para los sistemas móviles iOS o Android.
Los asistentes no autorizados serían visibles en la lista de asistentes de la reunión como asistentes móviles, con lo cual su presencia podría ser detectada por otros participantes de la reunión. Sin embargo, si estos pasasen desapercibidos o no levantasen sospechas entre el resto de asistentes, podría suponer la revelación de cualquier tipo de información sensible que se compartiese en la reunión privada.
La vulnerabilidad, identificada como CVE-2020-3142 y con una puntuación CVSS de 7.5 sobre 10 debido a la facilidad de explotación, fue descubierta internamente durante la resolución de un caso de soporte de Cisco TAC. El equipo de respuesta a incidentes de seguridad de productos de Cisco (PSIRT) ha declarado no tener constancia de ningún anuncio público o explotación de la vulnerabilidad.
Se encuentran afectados los sitios de Cisco WebEx Meetings Suite en versiones anteriores a 39.11.5 y los sitios de Cisco WebEx Meetings Online en versiones anteriores a 40.1.3.
Aunque Cisco ha corregido esta vulnerabilidad y no se requiere interacción del usuario para la actualización, resulta recomendable verificar que la plataforma Cisco Webex utilizada se encuentre actualizada. Para ello se pueden seguir los siguientes pasos:
- Iniciar sesión en el sitio de Cisco WebEx Meetings Suite o en el sitio de Cisco WebEx Meetings Online.
- Navegar a Descargas en el lado izquierdo de la página.
- Colocar el cursor sobre la i junto a «Información de la versión».
- Verificar el valor que se muestra junto a la versión de la página.
Más información:
Cisco WebEx Meetings Suite and Cisco WebEx Meetings Online Unauthenticated Meeting Join Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200124-webex-unauthjoin
CVE-2020-3142 Detail
https://nvd.nist.gov/vuln/detail/CVE-2020-3142
Powered by WPeMatico