Cisco ha rilasciato correzioni di sicurezza per due vulnerabilità ad alta gravità nei suoi prodotti, tra cui un difetto di esecuzione del codice remoto nella piattaforma di videoconferenza Webex.
Cisco ha dichiarato una vulnerabilità relativa a Webex Meetings Suite e Webex Meetings Online che consentiva anche ai partecipanti non autenticati di connettersi a una “riunione protetta da password, senza fornire la password della riunione” da una qualsiasi workstation. La vulnerabilità sarebbe stata scoperta in seguito ad una richiesta di assistenza.
Secondo le analisi effettuate dal Security Center, “La vulnerabilità, classificata come Alta, è dovuta all’esposizione involontaria delle informazioni sulla riunione in un flusso di partecipazione (alla stessa) specifico per le applicazioni mobili”.
In pratica l’utente accede al collegamento della riunione in un browser, per il quale è necessario l’ID della riunione. Il browser avvia quindi l’app Webex ed è all’interno di questo flusso che è possibile sfruttare la vulnerabilità.
Pare, tuttavia, che non siano stati rilevati collegamenti indesiderati. La partecipazione non autorizzata a una riunione online porterebbe conseguenze alle organizzazioni, come lo spionaggio industriale, l’insider trading o altro. Un utente malintenzionato potrebbe convincere gli utenti a cliccare su collegamenti appositamente predisposti che inviano quindi una richiesta falsa al web server in esecuzione sul dispositivo. Gli hacker potrebbero quindi sfruttare la vulnerabilità per eseguire azioni arbitrarie scalando i privilegi utente
“La vulnerabilità è dovuta a protezioni CSRF insufficienti per l’interfaccia utente Web su un dispositivo interessato. Un utente malintenzionato può sfruttare questa vulnerabilità convincendo un utente dell’interfaccia a seguire un collegamento dannoso. Un exploit di successo potrebbe consentire all’attaccante di eseguire azioni arbitrarie con il livello di privilegio dell’utente designato. Se l’utente dispone dei privilegi di amministratore, l’utente malintenzionato potrebbe modificare la configurazione, eseguire comandi o ricaricare un dispositivo interessato.”
Questo bug di sicurezza riguarda i dispositivi Cisco che eseguono versioni vulnerabili del software Cisco IOS o Cisco IOS XE precedenti alla 16.1.1 con la funzione HTTP Server abilitata, comprese le versioni del sito Webex Meetings Suite e Webex Meetings Online di Cisco precedenti alla 39.11.5 e 40.1.3. Il Cisco Webex Meetings Server locale (che uscirà di produzione a luglio) non è interessato.
Non ci sono soluzioni alternative, ha affermato Cisco, ma il bug è stato corretto e gli utenti non dovranno aggiornare le loro applicazioni Webex mobili o desktop.
Nel frattempo, a sei mesi dall’acquisizione di Voicea, Cisco sta offrendo le sue funzionalità AI: Webex Assistant sarà in grado di supportare le riunioni con attività come la traduzione in lingua, i sottotitoli e le trascrizioni.
