Actualités

Cisco Webex : 3 vulnérabilités découvertes permettaient à un individu de rejoindre une réunion sans être vu ! (phantom of the visio…)

Halloween passé, réside encore quelques fantômes… c’est le cas de Webex : l’application de vidéo-conférence de Cisco a essuyé trois brèches qui permettaient à distance d’espionner et d’assister à des conversations sans être visible, par exemple, lors de réunion de groupe en télétravail.

 

En partenariat avec l’équipe de recherche IBM, Security Intelligence décrit au sein de billet du 18 Novembre dernier une vulnérabilité prenant naissance dans l’interception des communication “WebSocket entre le client et le serveur“, en court-circuitant le processus d’authentification handshake ; plus précisément Webex Meetings et Webex Meetings Server : “l’équipe a examiné de près l’impact potentiel de valeurs soigneusement élaborées dans les messages de participation sur la salle de réunion. Une validation et une désinfection incorrectes des entrées peuvent facilement créer des problèmes lorsqu’une entrée peut être contrôlée par un adversaire. En manipulant certains des champs clés concernant un participant envoyé via un WebSocket lors de la participation à une réunion, l’équipe a pu injecter les valeurs soigneusement conçues qui permettent à quelqu’un de se joindre en tant que participant fantôme. Cela a fonctionné en raison d’une mauvaise gestion des valeurs par le serveur et les applications clientes des autres participants. Par exemple, l’injection de valeurs nulles dans les champs «Lock» et «CB_SECURITY_PARAMS» provoquait un problème“.

En finalité, un mode invisible pouvait être maintenu pour obtenir certaines informations ou flux-médias : nom complet, adresse IP, localisation, ISP, mail, audio, vidéo de la salle de visio-conférence “même sans être admis”. Seul indice, un “bip” auditif d’une connexion entrante (à la réunion en ligne) indiquait l’indiscret aux autres membres mais celui-ci s’avérait difficile à percevoir puisque parfois l’audio est désactivé, ce qui facilitait l’infiltration. Assignées CVE-2020-3441, CVE-2020-3471 et CVE-2020-3419, peuvent être comblées en mettant à jour le logiciel vers la dernière version, sans plus attendre, si ce n’est déjà fait. Des mesures complémentaires sont préconisées par Security Intelligence, telles que l’activation de notifications, le verrouillage de réunion à chaque début ou, entre-autres, un accès par code (PIN, mot de passe) pour pouvoir participer… A veiller !

 

 

Source : Security Intelligence – 18 Novembre 2020 – Webex Meetings : trois vulnérabilités permettaient de rejoindre des réunions sans être officiellement vu et listé.

 




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.0