సిస్కో
జనాదరణ పొందిన వెబెక్స్ వీడియో కాన్ఫరెన్సింగ్ ప్లాట్ఫామ్లోని భద్రతా లోపం అనధికార లేదా ప్రామాణీకరించని వినియోగదారులను ప్రైవేట్ ఆన్లైన్ సమావేశాలలో చేరడానికి అనుమతించింది. గోప్యతకు ఇటువంటి తీవ్రమైన ముప్పు మరియు విజయవంతమైన గూ ion చర్యం ప్రయత్నాలకు గేట్వేను వెబెక్స్ మాతృ సంస్థ సిస్కో సిస్టమ్స్ పాచ్ చేసింది.
సిస్కో సిస్టమ్స్ చేత కనుగొనబడిన మరియు తరువాత అతుక్కొని ఉన్న మరొక లొసుగు వర్చువల్ మరియు ప్రైవేట్ సమావేశాల లోపల, పాస్వర్డ్ ద్వారా రక్షించబడిన మరియు ఈవ్డ్రాప్ ద్వారా కూడా లోపలికి వెళ్లడానికి అనుమతించింది. హాక్ లేదా దాడిని విజయవంతంగా ఉపసంహరించుకోవడానికి అవసరమైన భాగాలు మీటింగ్ ఐడి మరియు వెబెక్స్ మొబైల్ అప్లికేషన్.
సిస్కో సిస్టమ్స్ 7.5 యొక్క తీవ్రత రేటింగ్తో వెబెక్స్ వీడియో కాన్ఫరెన్సింగ్లో భద్రతా దుర్బలత్వాన్ని కనుగొనండి:
వెబెక్స్లోని భద్రతా లోపాన్ని రిమోట్ అటాకర్ ఎలాంటి ప్రామాణీకరణ అవసరం లేకుండా ఉపయోగించుకోవచ్చని సిస్కో సూచించింది. దాడి చేసేవారికి మీటింగ్ ఐడి మరియు వెబెక్స్ మొబైల్ అప్లికేషన్ అవసరం. ఆసక్తికరంగా, వెబెక్స్ కోసం iOS మరియు Android మొబైల్ అనువర్తనాలు రెండింటినీ దాడిని ప్రారంభించడానికి ఉపయోగించవచ్చు, సిస్కోకు తెలియజేయబడింది శుక్రవారం సలహా ,
“అనధికారిక హాజరైన వ్యక్తి తెలిసిన మీటింగ్ ఐడిని యాక్సెస్ చేయడం ద్వారా లేదా మొబైల్ పరికరం యొక్క వెబ్ బ్రౌజర్ నుండి URL ను కలవడం ద్వారా ఈ దుర్బలత్వాన్ని ఉపయోగించుకోవచ్చు. పరికరం యొక్క వెబెక్స్ మొబైల్ అనువర్తనాన్ని ప్రారంభించమని బ్రౌజర్ అభ్యర్థిస్తుంది. తరువాత, ఇంటర్లోపర్ మొబైల్ వెబెక్స్ అనువర్తనం ద్వారా నిర్దిష్ట సమావేశాన్ని యాక్సెస్ చేయవచ్చు, పాస్వర్డ్ అవసరం లేదు. ”
RT బెదిరింపు: A. # సిస్కో లోపం రిమోట్, ప్రామాణీకరించని దాడి చేసేవారిని పాస్వర్డ్-రక్షిత వీడియో కాన్ఫరెన్స్ సమావేశంలో ప్రవేశించడానికి అనుమతించగలదు. #ICYMI https://t.co/gbNkUyOYN9
- మేడో మౌంటెన్ టెక్ (ad మీడోవ్టెక్) జనవరి 26, 2020
సిస్కో లోపం యొక్క మూల కారణాన్ని కనుగొంది. “మొబైల్ అనువర్తనాల కోసం ఒక నిర్దిష్ట సమావేశ జాయిన్ ప్రవాహంలో అనుకోని సమావేశ సమాచారం బహిర్గతం కావడం వల్ల ఈ దుర్బలత్వం ఏర్పడుతుంది. మొబైల్ పరికరం యొక్క వెబ్ బ్రౌజర్ నుండి తెలిసిన సమావేశ ID ని లేదా URL ను కలవడం ద్వారా అనధికార హాజరైనవారు ఈ దుర్బలత్వాన్ని ఉపయోగించుకోవచ్చు. ”
వర్చువల్ మీటింగ్లో హాజరైన వారి జాబితా ఈవ్డ్రాపర్ను బహిర్గతం చేసే ఏకైక అంశం. మొబైల్ అటెండర్గా సమావేశానికి హాజరైన జాబితాలో అనధికార హాజరైనవారు కనిపిస్తారు. మరో మాటలో చెప్పాలంటే, ప్రజలందరి ఉనికిని గుర్తించవచ్చు, కాని అనధికార వ్యక్తులను గుర్తించడానికి అధీకృత సిబ్బందికి వ్యతిరేకంగా జాబితాను లెక్కించడం నిర్వాహకుడిదే. గుర్తించబడకపోతే, దాడి చేసేవారు రహస్యంగా లేదా క్లిష్టమైన వ్యాపార సమావేశ వివరాలను సులభంగా వినవచ్చు బెదిరింపు పోస్ట్ .
సిస్కో ఉత్పత్తి భద్రత సంఘటన ప్రతిస్పందన బృందం వెబెక్స్లో దుర్బలత్వాన్ని పాచ్ చేస్తుంది:
సిస్కో సిస్టమ్స్ ఇటీవల భద్రతా లోపాన్ని కనుగొని, అతుక్కుంది CVSS స్కోరు 10 లో 7.5. యాదృచ్ఛికంగా, భద్రతా దుర్బలత్వం అధికారికంగా ట్రాక్ చేయబడింది CVE-2020-3142 , మరొక సిస్కో TAC మద్దతు కేసు కోసం అంతర్గత దర్యాప్తు మరియు తీర్మానం సమయంలో కనుగొనబడింది. లోపం బహిర్గతం లేదా దోపిడీ గురించి ధృవీకరించబడిన నివేదికలు లేవని సిస్కో పేర్కొంది, 'సిస్కో ప్రొడక్ట్ సెక్యూరిటీ ఇన్సిడెంట్ రెస్పాన్స్ టీమ్ (పిఎస్ఐఆర్టి) ఈ సలహాలో వివరించబడిన దుర్బలత్వం గురించి బహిరంగ ప్రకటనల గురించి తెలియదు.'
వెబ్బెక్స్ లోపం ఎవరైనా ప్రైవేట్ ఆన్లైన్ సమావేశాలలో చేరడానికి అనుమతించింది - పాస్వర్డ్ అవసరం లేదు https://t.co/F9rQ4UA2Mm pic.twitter.com/7uftEBe15T
- గ్రాహం క్లూలీ (cgcluley) జనవరి 26, 2020
సిస్కో సిస్టమ్స్ వెబెక్స్ వీడియో కాన్ఫరెన్సింగ్ ప్లాట్ఫారమ్లు సిస్కో వెబెక్స్ మీటింగ్స్ సూట్ సైట్లు మరియు సిస్కో వెబెక్స్ మీటింగ్స్ ఆన్లైన్ సైట్లు 39.11.5 (మునుపటివారికి) మరియు 40.1.3 (తరువాతి కోసం) కంటే మునుపటి సంస్కరణల కోసం. సిస్కో 39.11.5 సంస్కరణల్లో మరియు తరువాత, ది సిస్కో వెబెక్స్ మీటింగ్స్ సూట్ సైట్లు మరియు సిస్కో వెబెక్స్ మీటింగ్స్ ఆన్లైన్ సైట్ల వెర్షన్ 40.1.3 మరియు తరువాత పాచ్ చేయబడ్డాయి.
టాగ్లు సిస్కో