Cisco Webex: Geister können unautorisiert an Videokonferenzen teilnehmen

In Ciscos Videokonferenzsoftware Webex konnten Eindringlinge an Meetings teilnehmen - ohne in der Teilnehmerliste aufzutauchen.

Artikel veröffentlicht am ,
Ob an dieser Videokonferenz auch Geister teilnehmen?
Ob an dieser Videokonferenz auch Geister teilnehmen? (Bild: Alexandra_Koch/Pixabay)

Das vor allem in Firmen beliebte Videokonferenzsystem Cisco Webex hatte mehrere Sicherheitslücken, über die Eindringlinge an Meetings teilnehmen konnten, ohne in der Teilnehmerliste aufzutauchen. Selbst wenn sie aus dem Meeting ausgeschlossen wurden, konnten sie weiterhin zuhören und die Daten der Teilnehmenden einsehen. IBMs Sicherheitsteam hat die Lücken (CVE-2020-3441, CVE-2020-3471, CVE-2020-3419) bei einer Analyse entdeckt und an Cisco gemeldet. Patches sind verfügbar.

Stellenmarkt
  1. Data Scientist / Data Analyst (d/m/w)
    INTENSE AG, Würzburg, Köln, Saarbrücken und Leipzig
  2. SAP ABAP/UI5 Entwickler (m/w/x)
    über duerenhoff GmbH, Osnabrück
Detailsuche

Nicht authentifizierte Dritte konnten sich in Webex-Konferenzen einklinken, ohne dass sie zu einem Meeting eingeladen wurden. Dabei konnten die Eindringlinge die Konferenzen mithören und -sehen, sprechen und teils auf geteilte Medien zugreifen, ohne dabei in der Teilnehmerliste aufzutauchen - wie ein Geist. Der einzige Hinweis auf den Geist sei ein zusätzlicher Beitritts-Piepton gewesen - der bei großen Besprechungen jedoch häufig deaktiviert werde, schreibt IBM in einem Blogeintrag.

Um an einer Konferenz teilzunehmen, benötigten Angreifer die Konferenz-ID, die laut IBM häufig leicht zu erraten ist. Zudem durfte die Konferenz nicht mit einem Passwort geschützt sein. In Personal Rooms gebe es ohnehin keinen Passwortschutz, betont IBM.

Waren diese Bedingungen erfüllt, konnten Eindringlinge einen Handshake mit dem entsprechenden Webex-Server aufbauen und den Handshake derart manipulieren, dass eine ungesehene Teilnahme an dem Meeting möglich war. "Wir konnten das Problem der Geister-Teilnehmer auf MacOS, Windows und der iOS-Version der Webex-Meetings-Anwendungen und der Webex-Room-Kit-Anwendung demonstrieren", erklärt IBM.

Auch ausgeschlossene Webex-Teilnehmer können zum Geist werden

Golem Akademie
  1. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  2. Microsoft Teams effizient nutzen
    25. Oktober 2021, online
  3. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Über eine weitere Sicherheitslücke konnten Teilnehmende, die von einem Meeting ausgeschlossen wurden, beispielsweise durch den Admin oder indem sie sich selbst ausschlossen, weiterhin der Konferenz lauschen. Dabei tauchten auch sie nicht mehr in der Teilnehmerliste auf. Es sei unmöglich gewesen, die heimlich mithörende Person zu entdecken, heißt es in dem Blogeintrag von IBM.

Die dritte Sicherheitslücke ermöglichte es Eindringlingen, ohne Authentifizierung Informationen über Konferenzteilnehmende abzufragen, darunter deren Namen, E-Mail-Adresse, IP-Adresse und andere Geräteinformationen. Diese Informationen hätten selbst in gesperrten Sitzungen abgefragt werden können, deren Teilnehmende noch in der Lobby warten, schreibt IBM.

IBM übermittelte Cisco die Sicherheitslücken mit samt Proof-of-Concept-Skripten (PoC). Cisco hat die Lücken behoben, Betroffene sollten ihre Anwendungen umgehend aktualisieren. IBM rät darüber hinaus, keine leicht zu erratenden Konferenznamen zu vergeben und die Meetings durch ein Passwort zu schützen.

Die Berliner Datenschutzbeauftragte betonte bereits im Juli, dass Videokonferenzsysteme wie Ciscos Webex, Microsoft Teams oder Zoom nicht datenschutzkonform genutzt werden könnten. Auch die Datenschutzkonferenz sieht wenig Spielraum bei der Nutzung von US-Diensten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Datenleck
Daten von 106 Millionen Thailand-Reisenden geleakt

In einer ungeschützten Datenbank fanden sich die Daten der Thailand-Reisenden aus den letzten zehn Jahren - inklusive Reisepassnummern.

Datenleck: Daten von 106 Millionen Thailand-Reisenden geleakt
Artikel
  1. Laserbeamer: Xiaomis Kurzdistanzprojektor kostet unter 1.500 Euro
    Laserbeamer
    Xiaomis Kurzdistanzprojektor kostet unter 1.500 Euro

    Der Fengmi R1 kann aus der Nähe Bilder von 50 bis 200 Zoll aufspannen und kostet relativ wenig. Dafür macht er bei der Auflösung Abstriche.

  2. Online-Shopping: Ebay Kleinanzeigen führt SMS-Verifizierung ein
    Online-Shopping
    Ebay Kleinanzeigen führt SMS-Verifizierung ein

    Wie angekündigt, beginnt Ebay Kleinanzeigen mit der Abfrage von Rufnummern. Zu Beginn ist es optional, schon bald wird es Pflicht.

  3. WLAN und 6 GHz: Was bringt Wi-Fi 6E?
    WLAN und 6 GHz
    Was bringt Wi-Fi 6E?

    Der Standard Wi-Fi 6E erweitert WLAN das erste Mal seit Jahren um ein neues Frequenzband. Das hat viele Vorteile und ein paar Nachteile.
    Von Oliver Nickel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Asus 23,8" FHD 144Hz 166,90€ • PS5 bei Amazon zu gewinnen • Gaming-PC mit Ryzen 5 & RTX 3060 999€ • Corsair MP600 Pro 1TB mit Heatspreader PS5-kompatibel 162,90€ • Alternate (u. a. Asus WLAN-Adapter PCIe 24,90€) • MM-Prospekt (u. a. Asus TUF 17" i5 RTX 3050 1.099€) [Werbung]
    •  /