Η Cisco κλείνει σοβαρές ευπάθειες του WebEx

[nnn]

Η Cisco έκλεισε σήμερα, 3 σοβαρά κενά ασφαλείας στην πλατφόρμα τηλεδιάσκεψης WebEx. Μέσω αυτών, τρίτα μέρη μπορούσαν να συνδεθούν σε τρέχοντα WebEx sessions σαν κρυφοί συμμετέχοντες, που ενώ δεν φαίνονται στους συνδεδεμένους χρήστες, έχουν πρόσβαση σε εικόνα, ήχο και αρχεία.

Επιπλέον ακόμα και μετά την αποβολή τους από τους διαχειριστές του meeting, είχαν την δυνατότητα αμφίδρομου ήχου και πρόσβαση στα email και διευθύνσεις IP των υπολοπιπων μελών του meeting.

Οι ευπάθειες εντοπίζονται στα Cisco Webex Meetings και Cisco Webex Meetings Server και υπάρχουν διαθέσιμες αναβαθμίσεις από την Cisco.

• Join a Webex meeting as a ghost without being seen on the participant list with full access to audio, video, chat, and screen sharing capabilities (CVE-2020-3419)
• Stay in a Webex meeting as a ghost after being expelled from it, maintaining audio connection (CVE-2020-3471)
• Gain access to information on meeting attendees – including full names, email addresses, and IP addresses – from the meeting room lobby, even without being admitted to the call (CVE-2020-3441)

Πηγή : Bleeping Computer

[deniSun]

Έκανε τώρα έλεγχο και με πήγε από 40.11.Χ.Υ σε 40.12.1.10

[Rage]

μαλιστα....

[sdikr]

Εκεί που λες δεν μπορεί ολόκληρη cisco θα είναι πιο ασφαλές απο άλλες εφαρμογές, τελικά δεν ισχύει

[Iris07]

Ελπίζω να μην το δει ένας γνωστός μου που του έλεγα πριν λίγο καιρό..
πρόσεχε το zoom, θέλει αναβάθμιση..

μόνο το WebEx είναι σοβαρό..

Τώρα σχεδόν κάθε εβδομάδα βγάζει αναβάθμιση το Zoom..

[8anos]

τα χαρακτηριστικά των ευπαθειών μου θυμίζουν κερκοπορτες

[gcf]

Και το λέγανε εκπαιδευτικοί ότι έβλεπαν τρίτα μέρη στη λίστα των συμμετεχόντων... Επίσης έγινε και αυτό:
https://www.lifo.gr/now/greece/30357...toy-mathimatos

[tiatrou]

Και το λέγανε εκπαιδευτικοί ότι έβλεπαν τρίτα μέρη στη λίστα των συμμετεχόντων... Επίσης έγινε και αυτό:
https://www.lifo.gr/now/greece/30357...toy-mathimatos

Καμία σχέση με χακάρισμα. Δεδομένου ότι οι μαθητές μπαίνουν χωρίς καμία ταυτοποίηση, με τον ίδιο τρόπο μπήκαν και αυτοί, είτε υποδυόμενοι το όνομα ενός πραγματικού μαθητή, είτε με ψευδώνυμο, που φυσικά κακώς το δέχθηκε ο καθηγητής. Και βέβαια φταίει και ο καθηγητής, που τους έδωσε δικαιώματα παρουσίασης ή συνεχώς ανοικτού μικροφώνου. Διαφορετικά θα ήταν αδύνατο να κάνουν κάτι.

[YaWnX]

Εκεί που λες δεν μπορεί ολόκληρη cisco θα είναι πιο ασφαλές απο άλλες εφαρμογές, τελικά δεν ισχύει

Η ασφάλεια είναι θέμα χρήσης. Δεν έχει σημασία πόσα προβλήματα έχει ένα σύστημα, αλλά πόσα προβλήματα έχει ένα σύστημα αναλογικά με τους χρήστες του.
cisco = 1.000.000 χρήστες, 50 προβλήματα ασφαλείας, συντελεστής 0.0005.
Κάποιος άγνωστος = 20 χρήστες, 1 πρόβλημα ασφαλείας. Ναι αυτός έχει λιγότερα προβλήματα σαν απόλυτο νούμερο αλλά πολύ μεγαλύτερο συντελεστή.

Τα νούμερα είναι ενδεικτικά.

Το καλό με τις μεγάλες εταιρίες είναι ότι η πιθανότητα να φτιαχτεί σύντομα ένα πρόβλημα είναι πολύ μεγαλύτερη από τις μικρότερες.

[sdikr]

Η ασφάλεια είναι θέμα χρήσης. Δεν έχει σημασία πόσα προβλήματα έχει ένα σύστημα, αλλά πόσα προβλήματα έχει ένα σύστημα αναλογικά με τους χρήστες του.
cisco = 1.000.000 χρήστες, 50 προβλήματα ασφαλείας, συντελεστής 0.0005.
Κάποιος άγνωστος = 20 χρήστες, 1 πρόβλημα ασφαλείας. Ναι αυτός έχει λιγότερα προβλήματα σαν απόλυτο νούμερο αλλά πολύ μεγαλύτερο συντελεστή.

Τα νούμερα είναι ενδεικτικά.

Το καλό με τις μεγάλες εταιρίες είναι ότι η πιθανότητα να φτιαχτεί σύντομα ένα πρόβλημα είναι πολύ μεγαλύτερη από τις μικρότερες.

Και εγώ ο καημένος νόμιζα πως το θέμα είναι πόσους επηρεάζει ενα πρόβλημα ασφαλείας


Τα windows είναι το πιο ασφαλές σύστημα εκεί έξω

[fadasma]

Το webex το αγόρασε η Cisco, μαζί με τα κενά του προφανώς.

[leasedline]

ξεφτίλα το webex για την Cisco!

[YaWnX]

Και εγώ ο καημένος νόμιζα πως το θέμα είναι πόσους επηρεάζει ενα πρόβλημα ασφαλείας


Τα windows είναι το πιο ασφαλές σύστημα εκεί έξω

Α ναι ξέχασα εδώ είναι το φόρουμ των λινουξοπληκτων.

[sdikr]

Α ναι ξέχασα εδώ είναι το φόρουμ των λινουξοπληκτων.

[SfH]

Εκεί που λες δεν μπορεί ολόκληρη cisco θα είναι πιο ασφαλές απο άλλες εφαρμογές, τελικά δεν ισχύει

Δεν είναι ακριβώς μικρές οι εταιρίες που ασχολούνται σε αυτό το χώρο, αλλά θέματα ασφαλείας ( και γενικά bugs ) υπάρχουν παντού. Οι διαφορά είναι ότι στις μεγάλες εταιρίες, συνήθως μαθαίνουμε για περισσότερα από αυτά. Περί του webex, αν και προσωπικά δεν έχω συναντήσει προβλήματα μαζί του, έτυχε να ακούσω για άσχημες εμπειρίες από γνωστούς πρόσφατα, πέρα της τηλε-εκπαίδευσης.