信息來源:Cnbeta
伴隨著新冠疫情肆虐,越來越多的員工開始通過遠(yuǎn)程辦公的方式進行線上協(xié)作�����、視頻會議����。而遠(yuǎn)程辦公的激增,也暴露了諸多安全性和數(shù)據(jù)保密性問題�。
這些漏洞不僅能夠讓攻擊者秘密地加入會議,甚至在被“驅(qū)逐”之后仍然可以作為音頻參與者留在會議中���。攻擊者甚至可以在不進入呼叫的情況下從大廳獲得有關(guān)會議與會者的詳細(xì)信息�。
雖然當(dāng)這些攻擊者加入到會議中依然會觸發(fā)蜂鳴聲���,但如果這次會議中有很多與會者���,那么就非常容易被忽略。IBM 表示在發(fā)現(xiàn)該漏洞的同時����,還發(fā)現(xiàn)可以通過特殊的 URL 地址來影響已經(jīng)設(shè)定的會議和會議安排。
該漏洞可以發(fā)生在客戶端和服務(wù)器之間的“握手”過程中���。由于“不正確的輸入驗證和清理”��,攻擊者可以操縱通過WebSocket發(fā)送的請求(客戶端與服務(wù)器之間的連接)�����,并將特殊設(shè)計的值注入到請求中以作為虛擬主機加入�。研究人員成功地測試了這些場景,并且可以參加會議且不會出現(xiàn)在與會人員列表中�����,也不會被發(fā)現(xiàn)���。
IBM說����,由于問題的嚴(yán)重性和緊迫性�,它立即與Cisco共享了其發(fā)現(xiàn)的細(xì)節(jié)���。這家網(wǎng)絡(luò)公司致力于修復(fù)上述漏洞�,并于今天發(fā)布了安全公告����。這三個錯誤分別被標(biāo)記為CVE-2020-3441, CVE-2020-3471, CVE-2020-3419��,并已成功修復(fù)�。由于此問題影響了大多數(shù)平臺上的Webex客戶端���,因此該公司建議用戶將其應(yīng)用程序更新到最新版本�。
