Cisco Webex: Geister können unautorisiert an Videokonferenzen teilnehmen

In Ciscos Videokonferenzsoftware Webex konnten Eindringlinge an Meetings teilnehmen - ohne in der Teilnehmerliste aufzutauchen.

Artikel veröffentlicht am ,
Ob an dieser Videokonferenz auch Geister teilnehmen?
Ob an dieser Videokonferenz auch Geister teilnehmen? (Bild: Alexandra_Koch/Pixabay)

Das vor allem in Firmen beliebte Videokonferenzsystem Cisco Webex hatte mehrere Sicherheitslücken, über die Eindringlinge an Meetings teilnehmen konnten, ohne in der Teilnehmerliste aufzutauchen. Selbst wenn sie aus dem Meeting ausgeschlossen wurden, konnten sie weiterhin zuhören und die Daten der Teilnehmenden einsehen. IBMs Sicherheitsteam hat die Lücken (CVE-2020-3441, CVE-2020-3471, CVE-2020-3419) bei einer Analyse entdeckt und an Cisco gemeldet. Patches sind verfügbar.

Stellenmarkt
  1. UX/UI Designerin Frontend Entwicklung (m/w/d)
    Techniker Krankenkasse, Hamburg
  2. Consultant Automotive SPICE (m/w/d)
    Prozesswerk GmbH, München
Detailsuche

Nicht authentifizierte Dritte konnten sich in Webex-Konferenzen einklinken, ohne dass sie zu einem Meeting eingeladen wurden. Dabei konnten die Eindringlinge die Konferenzen mithören und -sehen, sprechen und teils auf geteilte Medien zugreifen, ohne dabei in der Teilnehmerliste aufzutauchen - wie ein Geist. Der einzige Hinweis auf den Geist sei ein zusätzlicher Beitritts-Piepton gewesen - der bei großen Besprechungen jedoch häufig deaktiviert werde, schreibt IBM in einem Blogeintrag.

Um an einer Konferenz teilzunehmen, benötigten Angreifer die Konferenz-ID, die laut IBM häufig leicht zu erraten ist. Zudem durfte die Konferenz nicht mit einem Passwort geschützt sein. In Personal Rooms gebe es ohnehin keinen Passwortschutz, betont IBM.

Waren diese Bedingungen erfüllt, konnten Eindringlinge einen Handshake mit dem entsprechenden Webex-Server aufbauen und den Handshake derart manipulieren, dass eine ungesehene Teilnahme an dem Meeting möglich war. "Wir konnten das Problem der Geister-Teilnehmer auf MacOS, Windows und der iOS-Version der Webex-Meetings-Anwendungen und der Webex-Room-Kit-Anwendung demonstrieren", erklärt IBM.

Auch ausgeschlossene Webex-Teilnehmer können zum Geist werden

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    5.-6. Juli 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Über eine weitere Sicherheitslücke konnten Teilnehmende, die von einem Meeting ausgeschlossen wurden, beispielsweise durch den Admin oder indem sie sich selbst ausschlossen, weiterhin der Konferenz lauschen. Dabei tauchten auch sie nicht mehr in der Teilnehmerliste auf. Es sei unmöglich gewesen, die heimlich mithörende Person zu entdecken, heißt es in dem Blogeintrag von IBM.

Die dritte Sicherheitslücke ermöglichte es Eindringlingen, ohne Authentifizierung Informationen über Konferenzteilnehmende abzufragen, darunter deren Namen, E-Mail-Adresse, IP-Adresse und andere Geräteinformationen. Diese Informationen hätten selbst in gesperrten Sitzungen abgefragt werden können, deren Teilnehmende noch in der Lobby warten, schreibt IBM.

IBM übermittelte Cisco die Sicherheitslücken mit samt Proof-of-Concept-Skripten (PoC). Cisco hat die Lücken behoben, Betroffene sollten ihre Anwendungen umgehend aktualisieren. IBM rät darüber hinaus, keine leicht zu erratenden Konferenznamen zu vergeben und die Meetings durch ein Passwort zu schützen.

Die Berliner Datenschutzbeauftragte betonte bereits im Juli, dass Videokonferenzsysteme wie Ciscos Webex, Microsoft Teams oder Zoom nicht datenschutzkonform genutzt werden könnten. Auch die Datenschutzkonferenz sieht wenig Spielraum bei der Nutzung von US-Diensten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Nextbox von Nitrokey im Test
Die eigene Cloud im Wohnzimmer

Mit der Nextbox hat Nitrokey eine Cloud für zu Hause entwickelt, um die man sich nicht kümmern muss. Dafür kann man sie auf der ganzen Welt erreichen.
Ein Test von Moritz Tremmel

Nextbox von Nitrokey im Test: Die eigene Cloud im Wohnzimmer
Artikel
  1. Sequent Elektron: Automatikuhr kommt mit smarten Funktionen
    Sequent Elektron
    Automatikuhr kommt mit smarten Funktionen

    Die Elektron ist eine Armbanduhr mit Schrittzähler, Sporttracking und wahlweise Pulsmesser. Aufladen müssen Nutzer das Wearable nicht.

  2. Ohne GTA 6: Diese Spiele haben wir auf der E3 vermisst
    Ohne GTA 6
    Diese Spiele haben wir auf der E3 vermisst

    E3 2021 Kein Dragon Age, kein neues Star-Wars-Spiel und Bioshock: Golem.de erklärt, welche Top-Spiele gefehlt haben - und warum.

  3. Prime Day 2021 bei Amazon - das sind die Highlights
     
    Prime Day 2021 bei Amazon - das sind die Highlights

    Lange haben wir gewartet, jetzt ist es so weit: Der Prime Day 2021 ist gestartet und bietet millionenfache Angebote aus allen Kategorien.
    Ausgewählte Angebote des E-Commerce-Teams

chefin 20. Nov 2020

Nur ist das kein Bug sondern ein Feature. Nennt sich Autoannehmen. Der beschriebene Bug...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Amazon Prime Day • SSDs (u. a. Crucial MX500 1TB 75,04€) • Gaming-Monitore • RAM von Crucial • Fire TV Stick 4K 28,99€ • Bosch Professional • Dualsense + Pulse 3D Headset 139,99€ • HyperX Cloud II 51,29€ • Apple-Produkte (u. a. iPhone 12 128GB 769€) • TV OLED & QLED [Werbung]
    •  /