信息來源:Cnbeta
伴隨著新冠疫情肆虐,越來越多的員工開始通過遠(yuǎn)程辦公的方式進(jìn)行線上協(xié)作、視頻會(huì)議。而遠(yuǎn)程辦公的激增,也暴露了諸多安全性和數(shù)據(jù)保密性問題。
這些漏洞不僅能夠讓攻擊者秘密地加入會(huì)議,甚至在被“驅(qū)逐”之后仍然可以作為音頻參與者留在會(huì)議中。攻擊者甚至可以在不進(jìn)入呼叫的情況下從大廳獲得有關(guān)會(huì)議與會(huì)者的詳細(xì)信息。
雖然當(dāng)這些攻擊者加入到會(huì)議中依然會(huì)觸發(fā)蜂鳴聲,但如果這次會(huì)議中有很多與會(huì)者,那么就非常容易被忽略。IBM 表示在發(fā)現(xiàn)該漏洞的同時(shí),還發(fā)現(xiàn)可以通過特殊的 URL 地址來影響已經(jīng)設(shè)定的會(huì)議和會(huì)議安排。
該漏洞可以發(fā)生在客戶端和服務(wù)器之間的“握手”過程中。由于“不正確的輸入驗(yàn)證和清理”,攻擊者可以操縱通過WebSocket發(fā)送的請(qǐng)求(客戶端與服務(wù)器之間的連接),并將特殊設(shè)計(jì)的值注入到請(qǐng)求中以作為虛擬主機(jī)加入。研究人員成功地測(cè)試了這些場(chǎng)景,并且可以參加會(huì)議且不會(huì)出現(xiàn)在與會(huì)人員列表中,也不會(huì)被發(fā)現(xiàn)。
IBM說,由于問題的嚴(yán)重性和緊迫性,它立即與Cisco共享了其發(fā)現(xiàn)的細(xì)節(jié)。這家網(wǎng)絡(luò)公司致力于修復(fù)上述漏洞,并于今天發(fā)布了安全公告。這三個(gè)錯(cuò)誤分別被標(biāo)記為CVE-2020-3441, CVE-2020-3471, CVE-2020-3419,并已成功修復(fù)。由于此問題影響了大多數(shù)平臺(tái)上的Webex客戶端,因此該公司建議用戶將其應(yīng)用程序更新到最新版本。