תוכן פרסומי
ראשי » חדשות » אבטחת מידע וסייבר » פגיעות בוובאקס של סיסקו ובזום אפשרה לזרים לרגל אחרי פגישות
מי השתתף בסתר בשיחות הוועידה שלכם? אילוסטרציה: BigStock

פגיעות בוובאקס של סיסקו ובזום אפשרה לזרים לרגל אחרי פגישות

הפגיעות מסוג 'עין חקרנית' עלולה הייתה לאפשר לפורצים לסרוק אחר מזהי פגישה לא מוגנים ולחמוק לתוך שיחות ועידה של חברות ובכירים

מאת 2 באוקטובר 2019, 17:50 א+ / א- הדפסה הדפסה
פייסבוק טוויטר ווטסאפ פינטרסט לינקדאין דוא״ל

פגיעות שהתגלתה בפלטפורמות שיחות הווידיאו הארגוניות וובאקס של סיסקו ובזום יכולה הייתה לאפשר לתוקפים לחדור אל שיחות שהתנהלו ללא הגנה של סיסמה, וזאת באמצעות סריקה קלה יחסית.

הפגיעות התגלתה כבר במהלך יולי האחרון, אך פורסמה רק עתה, לאחר שהקבוצה שחשפה אותה – קבוצת המחקר לאיומים ראשיים בחטיבת אבטחת היישומים של הסטארט-אפ סיקוונס סקיוריטי – העבירה את המידע לסיסקו ולזום בכדי שאלו יוכלו להכין טלאים מתאימים, כפי שהן אכן עשו.

מדובר בפגיעות מסוג 'עין חקרנית' (Prying-Eye), אותה יכולים תוקפים לנצל כדי להריץ התקפת 'ספירה', בה נעשה שימוש במנגנון אוטומטי בכדי לאתר רצפים נומריים או אלפא-נומריים, המשמשים לזיהוי בעת שיוצרים קשר באפליקציות, כמו למשל בישיבות מרוחקות אשר מתבצעות באמצעות שירותי וידיאו.

באמצעות בוט ניתן לסרוק באופן כזה מספרי פגישות רלוונטיים לשימוש ב-WebEx וב-Zoom, ואם נתקלים במספר ישיבה מתאים, ואין הגנת סיסמה, אפשר לחדור לשיחה כדי להשתתף בה כצופה או כמאזין – אם כי ייתכן שבמקרים מסוימים ההצטרפות תוכרז, כך שלכאורה לפחות ניתן יהיה להבחין בהצטרפות של משתתף שאינו מוזמן.

סיסקו שחררה עדכון ל-API של ביצוע השיחות באמצעות WebEx, והיא ממליצה למנהלים לשמור על הגדרות ברירת המחדל לפיהן נדרש לקבוע סיסמה לכל ישיבה. בזום שחררו בקרות חדשות עם הגדרות לכל רמות קביעת הישיבה, ולא לכל ישיבה בפני עצמה, במטרה לספק למנהלי הישיבות והחשבונות יותר שליטה על סיסמאות הפגישות.

פגיעות בוובאקס של סיסקו ובזום אפשרה לזרים לרגל אחרי פגישות Reviewed by on . פגיעות שהתגלתה בפלטפורמות שיחות הווידיאו הארגוניות וובאקס של סיסקו ובזום יכולה הייתה לאפשר לתוקפים לחדור אל שיחות שהתנהלו ללא הגנה של סיסמה, וזאת באמצעות סריקה פגיעות שהתגלתה בפלטפורמות שיחות הווידיאו הארגוניות וובאקס של סיסקו ובזום יכולה הייתה לאפשר לתוקפים לחדור אל שיחות שהתנהלו ללא הגנה של סיסמה, וזאת באמצעות סריקה Rating: 0

הגיבו