सिस्को
लोकप्रिय वीबेक्स वीडियो कॉन्फ्रेंसिंग प्लेटफॉर्म के भीतर एक सुरक्षा दोष ने अनधिकृत या अनधिकृत उपयोगकर्ताओं को निजी ऑनलाइन बैठकों में शामिल होने की अनुमति दी। संभावित रूप से सफल जासूसी के प्रयासों के लिए गोपनीयता और प्रवेश द्वार के लिए इस तरह का एक गंभीर खतरा वेबेक्स मूल कंपनी, सिस्को सिस्टम्स द्वारा पैच किया गया था।
सिस्को सिस्टम्स द्वारा खोजे गए और बाद में एक अन्य खामी ने किसी भी अनधिकृत अजनबी को आभासी और निजी बैठकों के अंदर घुसने की अनुमति दी, यहां तक कि पासवर्ड, और ईव्सड्रॉप द्वारा संरक्षित। हैक या हमले को सफलतापूर्वक खींचने के लिए आवश्यक एकमात्र घटक बैठक आईडी और एक वीबेक्स मोबाइल एप्लिकेशन थे।
सिस्को सिस्टम्स ने 7.5 की गंभीरता रेटिंग के साथ वेबेक्स वीडियो कॉन्फ्रेंसिंग में सुरक्षा भेद्यता की खोज की:
वीबेक्स के भीतर सुरक्षा दोष को किसी भी प्रकार के प्रमाणीकरण की आवश्यकता के बिना एक दूरस्थ हमलावर द्वारा शोषण किया जा सकता है, सिस्को ने संकेत दिया। एक हमलावर को केवल मीटिंग आईडी और एक वीबेक्स मोबाइल एप्लिकेशन की आवश्यकता होगी। दिलचस्प बात यह है कि वीबेक्स के लिए आईओएस और एंड्रॉइड मोबाइल एप्लिकेशन दोनों का उपयोग हमले को लॉन्च करने के लिए किया जा सकता है, एक में सिस्को को अधिसूचित किया गया शुक्रवार की सलाह ,
“एक अनधिकृत उपस्थित व्यक्ति मोबाइल डिवाइस के वेब ब्राउज़र से एक ज्ञात मीटिंग आईडी या मीटिंग URL तक पहुँच कर इस भेद्यता का फायदा उठा सकता है। फिर ब्राउज़र डिवाइस के वीबेक्स मोबाइल एप्लिकेशन को लॉन्च करने का अनुरोध करेगा। इसके बाद, इंटरलेपर विशिष्ट मीटिंग को मोबाइल वीबेक्स ऐप के माध्यम से एक्सेस कर सकता है, इसके लिए पासवर्ड की आवश्यकता नहीं है। '
आरटी खतरा: ए #Cisco दोष रिमोट, अनअथेंटेड हमलावर को पासवर्ड-सुरक्षित वीडियो कॉन्फ्रेंस मीटिंग में प्रवेश करने की अनुमति दे सकता है। #ICYMI https://t.co/gbNkUyOYN9
- मीडो माउंटेन टेक (@meadowmttech) 26 जनवरी, 2020
सिस्को ने दोष के मूल कारण का पता लगाया है। “मोबाइल एप्लिकेशन के लिए एक विशिष्ट मीटिंग ज्वाइन फ्लो में अनपेक्षित मीटिंग सूचना जोखिम के कारण भेद्यता होती है। एक अनधिकृत उपस्थित व्यक्ति मोबाइल डिवाइस के वेब ब्राउज़र से एक ज्ञात मीटिंग आईडी या मीटिंग URL तक पहुँच कर इस भेद्यता का फायदा उठा सकता है। '
केवल एकमात्र पहलू जो ईव्सड्रोपर को उजागर करेगा, वह आभासी बैठक में उपस्थित लोगों की सूची थी। अनधिकृत उपस्थितगण बैठक में उपस्थित लोगों की सूची में मोबाइल सहभागी के रूप में दिखाई देंगे। दूसरे शब्दों में, सभी लोगों की उपस्थिति का पता लगाया जा सकता है, लेकिन यह प्रशासक के लिए है कि वह अनधिकृत व्यक्तियों की पहचान करने के लिए अधिकृत कर्मियों के खिलाफ सूची का मिलान करे। यदि अनिर्धारित, एक हमलावर संभावित गुप्त या महत्वपूर्ण व्यापार बैठक के विवरण पर आसानी से दावा कर सकता है, रिपोर्ट किया गया ThreatPost ।
सिस्को उत्पाद सुरक्षा घटना प्रतिक्रिया टीम Webex में कमजोरता पैच:
सिस्को सिस्टम्स ने हाल ही में एक सुरक्षा दोष की खोज की और पैच किया 10. में से 7.5 के सीवीएसएस स्कोर के साथ, गलती से, सुरक्षा भेद्यता, आधिकारिक तौर पर ट्रैक हो गई CVE-2020-3142 , एक और सिस्को टीएसी समर्थन मामले के लिए एक आंतरिक जांच और संकल्प के दौरान पाया गया था। सिस्को ने कहा है कि दोष के जोखिम या शोषण के बारे में कोई पुष्ट रिपोर्ट नहीं है, 'सिस्को उत्पाद सुरक्षा हादसा प्रतिक्रिया टीम (PSIRT) इस सलाहकार में वर्णित भेद्यता की किसी भी सार्वजनिक घोषणाओं से अवगत नहीं है।'
Webex दोष ने किसी को भी निजी ऑनलाइन बैठकों में शामिल होने की अनुमति दी - कोई पासवर्ड आवश्यक नहीं है https://t.co/F9rQ4UA2Mm pic.twitter.com/7uftEBe15T
- ग्राहम क्लूले (@gcluley) 26 जनवरी, 2020
कमजोर सिस्को सिस्टम्स वीबेक्स वीडियो कॉन्फ्रेंसिंग प्लेटफॉर्म सिस्को वीबेक्स मीटिंग सुइट साइटें और सिस्को वीबेक्स मीटिंग्स ऑनलाइन साइटों के संस्करणों के लिए पहले 39.11.5 (पूर्व के लिए) और 40.1.3 (बाद के लिए) थे। सिस्को ने संस्करणों में भेद्यता 39.11.5 तय की और बाद में, सिस्को वेबेक्स मीटिंग सुइट साइटें और सिस्को वीबेक्स मीटिंग्स ऑनलाइन साइट्स संस्करण 40.1.3 और बाद में पैच किए गए हैं।
टैग सिस्को