Cisco Webex: Geister können unautorisiert an Videokonferenzen teilnehmen

Das vor allem in Firmen beliebte Videokonferenzsystem Cisco Webex hatte mehrere Sicherheitslücken, über die Eindringlinge an Meetings teilnehmen konnten, ohne in der Teilnehmerliste aufzutauchen. Selbst wenn sie aus dem Meeting ausgeschlossen wurden, konnten sie weiterhin zuhören und die Daten der Teilnehmenden einsehen. IBMs Sicherheitsteam hat die Lücken (CVE-2020-3441, CVE-2020-3471, CVE-2020-3419) bei einer Analyse entdeckt und an Cisco gemeldet. Patches sind verfügbar.

Nicht authentifizierte Dritte konnten sich in Webex-Konferenzen einklinken, ohne dass sie zu einem Meeting eingeladen wurden. Dabei konnten die Eindringlinge die Konferenzen mithören und -sehen, sprechen und teils auf geteilte Medien zugreifen, ohne dabei in der Teilnehmerliste aufzutauchen - wie ein Geist. Der einzige Hinweis auf den Geist sei ein zusätzlicher Beitritts-Piepton gewesen - der bei großen Besprechungen jedoch häufig deaktiviert werde, schreibt IBM in einem Blogeintrag.

Um an einer Konferenz teilzunehmen, benötigten Angreifer die Konferenz-ID, die laut IBM häufig leicht zu erraten ist. Zudem durfte die Konferenz nicht mit einem Passwort geschützt sein. In Personal Rooms gebe es ohnehin keinen Passwortschutz, betont IBM.

Waren diese Bedingungen erfüllt, konnten Eindringlinge einen Handshake mit dem entsprechenden Webex-Server aufbauen und den Handshake derart manipulieren, dass eine ungesehene Teilnahme an dem Meeting möglich war. "Wir konnten das Problem der Geister-Teilnehmer auf MacOS, Windows und der iOS-Version der Webex-Meetings-Anwendungen und der Webex-Room-Kit-Anwendung demonstrieren", erklärt IBM.

Auch ausgeschlossene Webex-Teilnehmer können zum Geist werden

Über eine weitere Sicherheitslücke konnten Teilnehmende, die von einem Meeting ausgeschlossen wurden, beispielsweise durch den Admin oder indem sie sich selbst ausschlossen, weiterhin der Konferenz lauschen. Dabei tauchten auch sie nicht mehr in der Teilnehmerliste auf. Es sei unmöglich gewesen, die heimlich mithörende Person zu entdecken, heißt es in dem Blogeintrag von IBM.

Die dritte Sicherheitslücke ermöglichte es Eindringlingen, ohne Authentifizierung Informationen über Konferenzteilnehmende abzufragen, darunter deren Namen, E-Mail-Adresse, IP-Adresse und andere Geräteinformationen. Diese Informationen hätten selbst in gesperrten Sitzungen abgefragt werden können, deren Teilnehmende noch in der Lobby warten, schreibt IBM.

IBM übermittelte Cisco die Sicherheitslücken mit samt Proof-of-Concept-Skripten (PoC). Cisco hat die Lücken behoben, Betroffene sollten ihre Anwendungen umgehend aktualisieren. IBM rät darüber hinaus, keine leicht zu erratenden Konferenznamen zu vergeben und die Meetings durch ein Passwort zu schützen.

Die Berliner Datenschutzbeauftragte betonte bereits im Juli, dass Videokonferenzsysteme wie Ciscos Webex, Microsoft Teams oder Zoom nicht datenschutzkonform genutzt werden könnten. Auch die Datenschutzkonferenz sieht wenig Spielraum bei der Nutzung von US-Diensten.