思科Webex漏洞可让攻击者非法加入私人会议

近期，思科修复了Cisco Webex视频会议平台中的一个严重漏洞（CVE-2020-3142），它可被远程未经身份验证的攻击者利用，加入非公开（有密码保护）的视频会议。

为了利用该漏洞，攻击者只需要知道会议ID即可，再用其配合使用Webex移动应用程序（iOS或Android），就可以绕过身份验证加入会议。

根据思科发布的安全公告：“Cisco Webex Meetings Suite网站和Webex Meetings Online网站的一个漏洞可让未经身份验证的远程攻击者者在无需会议密码的情况下加入受密码保护的会议。不过会议连接必须从iOS或Android版本的Webex应用发起。未经授权的与会者可以利用这个漏洞在仅知道会议ID的情况下直接加入会议。”

CVE-2020-3142的CVSS评分为7.5（满分10分），它是在研究人员解决思科TAC支持案例发现的。

幸运的是，与会者很容易发现攻击者的存在，因为所有参加会议的人员都会出现在与会者列表中。

该漏洞影响了Cisco Webex Meetings Suite的39.11.5之前以及Webex Meetings Online的40.1.3之前的版本。

在Cisco Webex Meetings Suite的39.11.5及以后版本，Webex Meetings Online的40.1.3及以后版本中漏洞已被解决。

此外，思科产品安全事件响应小组（PSIRT）还未发现任何利用该漏洞发起的攻击。

几周前，思科系统针对其产品中的两个严重漏洞发布了安全补丁，其中包括Webex视频会议平台的一个远程代码执行。

这主要和Webex Video Mesh的Web管理界面有关。该漏洞影响了在2019.09.19.1956m之前版本的软件。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://securityaffairs.co/wordpress/96815/security/cisco-webex-flaw-2.html