Acceuil / Technologies / Editeurs / Des bugs Webex permettaient d’espionner les conférences d’autres personnes

Des bugs Webex permettaient d’espionner les conférences d’autres personnes

Les ingénieurs Cisco ont corrigé trois vulnérabilités ( CVE-2020-3441 , CVE-2020-3471 et CVE-2020-3419 ) dans l’application de conférence Webex. Des bugs ont permis aux étrangers de rejoindre la conférence et de rester dans le chat même après avoir été expulsés.

Les vulnérabilités ont été découvertes par les ingénieurs IBM lors de l’audit des outils utilisés dans l’entreprise lors de la pandémie de coronavirus. Les chercheurs affirment que les vulnérabilités ont permis à un attaquant de rejoindre la conférence de quelqu’un d’autre en tant qu’utilisateur fantôme que les autres participants au chat ne pouvaient pas voir. Ce faisant, un pirate informatique pourrait accéder au contenu audio et vidéo, au chat lui-même et à d’autres fonctionnalités Webex.

De plus, l’attaquant pouvait rester dans le chat même s’il était expulsé, ce qui permettait à l’attaquant de collecter des informations sur les utilisateurs, telles que leurs noms complets, adresses e-mail, adresses IP.

Les spécialistes IBM expliquent que les bogues étaient liés à la mise en œuvre du processus de prise de contact. Par exemple, les attaquants qui connaissent l’URL d’une conférence peuvent se connecter au serveur Webex, envoyer des paquets modifiés et manipuler le serveur pour accéder à la conférence et collecter des informations sur les participants à la conférence. Une démonstration vidéo de l’attaque peut être vue ci-dessous.

 

Au cours des tests, les chercheurs ont pu faire fonctionner les vulnérabilités dans macOS, Windows, Webex Meetings pour iOS et Webex Room Kit.

Heureusement, ces problèmes ne fonctionnaient que si l’attaquant connaissait l’URL de la réunion planifiée, ainsi que les URL uniques de la salle personnelle Webex. Les experts soulignent que l’attaque d’une salle personnelle Webex peut être encore plus facile, car leurs adresses sont construites sur une combinaison prévisible de caractères basée sur le nom du propriétaire de la «salle» et le nom de l’organisation.

A propos de admin-ouss

Je suis un Ingénieur en Cybersecurité, passionné par les nouveautés dans le monde cybernétique. Je vous ramène à travers mes articles les nouveautés du monde de la sécurité informatique.

Consulter aussi cet article :

Windows 10, Ubuntu, Safari, Chrome et Zoom ont été jailbreaké dans la plus grande compétition de piratage « Pwn2Own 2021 »

La plus grande compétition de piratage – le printemps Pwn2Own 2021 – a pris fin. …

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *