Cisco a corrigé plusieurs vulnérabilités de sécurité inquiétantes dans son service de visioconférence Webex.
Les failles du logiciel de visioconférence ont été signalées par IBM, un client Webex. La division de recherche IBM de la société et le bureau du CISO d’IBM ont examiné de plus près les outils de collaboration utilisés pour le travail quotidien afin de mieux comprendre comment ils pourraient avoir un impact sur les réunions sensibles qui se tiennent désormais virtuellement. Au cours de son enquête, les chercheurs en sécurité de l’entreprise ont découvert trois vulnérabilités dans Webex.
Si elles sont exploitées, ces failles pourraient permettre à un acteur malveillant de devenir un «fantôme» et de rejoindre une réunion sans être détecté. Ils ne pourraient pas être vus sur la liste des participants tout en ayant toujours un accès complet aux fonctionnalités vidéo, audio, de chat et de partage d’écran.
Pour aggraver les choses, un fantôme pourrait rester dans une réunion Webex même après en avoir été expulsé tout en conservant une connexion audio qui lui permettrait d’écouter les affaires sensibles de l’entreprise. De plus, un fantôme pourrait accéder aux informations sur les participants à la réunion, y compris leurs noms complets, adresse e-mail et adresses IP depuis le hall de la salle de réunion, même sans être admis à l’appel.
Sommaire
Vulnérabilités Webex
L’équipe de recherche IBM a découvert trois vulnérabilités dans Cisco Webex, suivies comme CVE-2020-3441, CVE-2020-3471 et CVE-2020-3419, tout en examinant la plate-forme pour les implications de sécurité et de confidentialité pour les entreprises.
Ces failles affectent à la fois les réunions planifiées avec des URL de réunion uniques et même les salles personnelles Webex. Cependant, les salles personnelles peuvent être plus faciles à exploiter car elles sont souvent basées sur une combinaison prévisible du nom du propriétaire de la salle et du nom de l’organisation.
Lors de sa découverte, IBM a signalé les vulnérabilités à Cisco et elles ont toutes été corrigées. Cependant, les deux sociétés ont accepté de diffuser des informations limitées sur les failles jusqu’à ce que tous les correctifs soient disponibles afin de réduire le risque pour l’industrie dans son ensemble.
Pour éviter d’être victime d’attaques potentielles lors de la visioconférence, IBM recommande aux entreprises de tester de nouveaux outils de collaboration pour la sécurité, d’évaluer toutes les politiques d’appel en toute confiance, d’utiliser des identifiants de réunion uniques, de mettre en œuvre des mots de passe ou des codes PIN de réunion, de démarrer des réunions par appel nominal, d’activer les notifications , mettez immédiatement fin aux appels suspects, verrouillez les réunions et redémarrez les réunions lorsque vous suspendez des appels consécutifs.
