Cisco Webex: Geister können unautorisiert an Videokonferenzen teilnehmen

In Ciscos Videokonferenzsoftware Webex konnten Eindringlinge an Meetings teilnehmen - ohne in der Teilnehmerliste aufzutauchen.

Artikel veröffentlicht am ,
Ob an dieser Videokonferenz auch Geister teilnehmen?
Ob an dieser Videokonferenz auch Geister teilnehmen? (Bild: Alexandra_Koch/Pixabay)

Das vor allem in Firmen beliebte Videokonferenzsystem Cisco Webex hatte mehrere Sicherheitslücken, über die Eindringlinge an Meetings teilnehmen konnten, ohne in der Teilnehmerliste aufzutauchen. Selbst wenn sie aus dem Meeting ausgeschlossen wurden, konnten sie weiterhin zuhören und die Daten der Teilnehmenden einsehen. IBMs Sicherheitsteam hat die Lücken (CVE-2020-3441, CVE-2020-3471, CVE-2020-3419) bei einer Analyse entdeckt und an Cisco gemeldet. Patches sind verfügbar.

Stellenmarkt
  1. Senior Projekt Manager mit Schwerpunkt Projekt Support (m/w/d)
    BWI GmbH, München
  2. Teilprojektleiter Produktentwicklung (m/w/d)
    Basler AG, Ahrensburg bei Hamburg
Detailsuche

Nicht authentifizierte Dritte konnten sich in Webex-Konferenzen einklinken, ohne dass sie zu einem Meeting eingeladen wurden. Dabei konnten die Eindringlinge die Konferenzen mithören und -sehen, sprechen und teils auf geteilte Medien zugreifen, ohne dabei in der Teilnehmerliste aufzutauchen - wie ein Geist. Der einzige Hinweis auf den Geist sei ein zusätzlicher Beitritts-Piepton gewesen - der bei großen Besprechungen jedoch häufig deaktiviert werde, schreibt IBM in einem Blogeintrag.

Um an einer Konferenz teilzunehmen, benötigten Angreifer die Konferenz-ID, die laut IBM häufig leicht zu erraten ist. Zudem durfte die Konferenz nicht mit einem Passwort geschützt sein. In Personal Rooms gebe es ohnehin keinen Passwortschutz, betont IBM.

Waren diese Bedingungen erfüllt, konnten Eindringlinge einen Handshake mit dem entsprechenden Webex-Server aufbauen und den Handshake derart manipulieren, dass eine ungesehene Teilnahme an dem Meeting möglich war. "Wir konnten das Problem der Geister-Teilnehmer auf MacOS, Windows und der iOS-Version der Webex-Meetings-Anwendungen und der Webex-Room-Kit-Anwendung demonstrieren", erklärt IBM.

Auch ausgeschlossene Webex-Teilnehmer können zum Geist werden

Golem Akademie
  1. Container Technologie: Docker und Kubernetes - Theorie und Praxis: virtueller Drei-Tage-Workshop
    04.-07.07.2022, virtuell
  2. Apache Kafka Grundlagen: virtueller Zwei-Tage-Workshop
    , Virtuell
Weitere IT-Trainings

Über eine weitere Sicherheitslücke konnten Teilnehmende, die von einem Meeting ausgeschlossen wurden, beispielsweise durch den Admin oder indem sie sich selbst ausschlossen, weiterhin der Konferenz lauschen. Dabei tauchten auch sie nicht mehr in der Teilnehmerliste auf. Es sei unmöglich gewesen, die heimlich mithörende Person zu entdecken, heißt es in dem Blogeintrag von IBM.

Die dritte Sicherheitslücke ermöglichte es Eindringlingen, ohne Authentifizierung Informationen über Konferenzteilnehmende abzufragen, darunter deren Namen, E-Mail-Adresse, IP-Adresse und andere Geräteinformationen. Diese Informationen hätten selbst in gesperrten Sitzungen abgefragt werden können, deren Teilnehmende noch in der Lobby warten, schreibt IBM.

IBM übermittelte Cisco die Sicherheitslücken mit samt Proof-of-Concept-Skripten (PoC). Cisco hat die Lücken behoben, Betroffene sollten ihre Anwendungen umgehend aktualisieren. IBM rät darüber hinaus, keine leicht zu erratenden Konferenznamen zu vergeben und die Meetings durch ein Passwort zu schützen.

Die Berliner Datenschutzbeauftragte betonte bereits im Juli, dass Videokonferenzsysteme wie Ciscos Webex, Microsoft Teams oder Zoom nicht datenschutzkonform genutzt werden könnten. Auch die Datenschutzkonferenz sieht wenig Spielraum bei der Nutzung von US-Diensten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Heimkino und Hi-Fi
Onkyo meldet Konkurs an

Onkyo hat beim Bezirksgericht Osaka Konkurs angemeldet. Ob das überschuldete Unternehmen gerettet werden kann, ist ungewiss.

Heimkino und Hi-Fi: Onkyo meldet Konkurs an
Artikel
  1. Flughafen BER: Drohne über Teslas Gigafactory behindert Flugverkehr
    Flughafen BER
    Drohne über Teslas Gigafactory behindert Flugverkehr

    Über dem Gelände der Gigafactory Berlin ist es zu einem Zwischenfall mit einer Drohne und einem Passagierflugzeug gekommen.

  2. DVB-T2: Telefónica will schnell an Spektrum des Antennenfernsehens
    DVB-T2
    Telefónica will schnell an Spektrum des Antennenfernsehens

    Auf der nächsten Weltfunkkonferenz sollten alle offen für Neues sein, fordert die Cheflobbyistin von Telefonica Deutschland. Was sie wirklich meint, wird in einem Positionspapier deutlicher.

  3. Landesumweltminister: Einigung bei Autobahn-Tempolimit
    Landesumweltminister
    Einigung bei Autobahn-Tempolimit

    Die Landesumweltminister der Bundesländer haben sich einstimmig für ein Tempolimit auf Autobahnen ausgesprochen. Was fehlt, ist dessen Höhe.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Gaming-Monitore mit bis zu 400€ Rabatt • Jubiläumsangebote bei MediaMarkt • MSI Optix MAG342CQR ab 389,90€ • MindStar (u. a. AMD Ryzen 7 5700X 269€, AMD Ryzen 9 5950X 509€ und LC-Power LC-M35-UWQHD-120-C 339€) [Werbung]
    •  /