21 de October de 2019

Cisco alerta sobre vulnerabilidade em plataforma de videoconferência

A Cisco alertou nesta quarta-feira (2) os usuários do seu sistema de videoconferência Cisco Webex sobre uma vulnerabilidade que permitiria que qualquer pessoa participasse de uma reunião e acessasse informações que deveriam ser privadas. De acordo com informações do ZDNet, o método de ataque foi identificado pela Cequence Security.

A empresa publicou um aviso explicando que os invasores seriam capazes de acessar o identificador numérico que permite participantes entrarem em conferências pelo Webex. Essa é uma má notícia para quem espera que as conversas sejam protegidas, mas a Cisco, por enquanto, não lançou um patch para resolver o problema.

Para a Cisco, a descoberta da Cequence Security não pode ser considerada vulnerabilidade, mas sim uma falha de configuração. Por isso, em vez de atualizar o sistema, a companhia preferiu oferecer recomendações para garantir que pessoas mal-intencionadas não abusem da API. Vale destacar que o bug também afeta o aplicativo de videoconferência Zoom.

“A vulnerabilidade Prying-Eye é um exemplo de ataque de enumeração que visa APIs de conferência na Web com um bot que percorre (enumera) e descobre IDs de reunião numéricos válidos”, explicou a Cequence.

Para facilitar a participação nas reuniões, os usuários geralmente não exigem a utilização de senhas. Mas depois da descoberta, a recomendação é de que a adoção de senhas seja praxe nas empresas.

No caso da Cisco, o Webex Meetings usa um identificador de nove dígitos que os participantes podem usar para ingressar em uma reunião a partir de smartphones e desktops. Dessa forma, o problema de segurança afeta principalmente as reuniões que não são protegidas por senha. “Para reuniões protegidas por senha, o invasor pode recuperar o número da reunião, mas não poderá descobrir o título da reunião, a agenda ou o nome do host ou ingressar na reunião”, afirmou a Cisco.

A empresa observa, ainda, que a configuração padrão torna obrigatório o uso de uma senha quando os usuários estão configurando as reuniões.

 

Article source: https://computerworld.com.br/2019/10/03/cisco-alerta-sobre-vulnerabilidade-em-plataforma-de-videoconferencia/

Speak Your Mind

*