Баги Cisco Webex позволяют незримо присутствовать на чужой конференции

Баги Cisco Webex позволяют незримо присутствовать на чужой конференции

Баги Cisco Webex позволяют незримо присутствовать на чужой конференции

В продуктах линейки Webex Meetings производства Cisco Systems выявлены три уязвимости, позволяющие нелегально присоединиться к видеоконференции и следить за ее ходом, не раскрывая своего присутствия. Профильные облачные сервисы Cisco пропатчила, заплатки для мобильных и серверных приложений Webex уже доступны, выпуск остальных запланирован на 24 ноября.

По словам авторов находки, новые проблемы связаны с возможностью манипулирования данными, которыми клиент Webex и бэкенд-сервер обмениваются в ходе рукопожатия. Внедрение участника-невидимки в видеоконференцию и персональные комнаты Webex было с успехом воспроизведено на macOS, Windows и iOS.

Представляя результаты анализа уязвимостей, эксперты IBM отметили, что эксплуатация во всех случаях возможна лишь при наличии URL запланированного мероприятия и производится путем подачи особого запроса на целевой сервер.

Согласно описаниям Cisco, новые лазейки в совокупности позволяют атакующему сделать следующее:

  1. Присоединиться к Webex-конференции, не попав ни в один список участников, и получить полный доступ к средствам аудио- и видеотрансляции, чатам, а также текстовым и графическим материалам (CVE-2020-3419).
  2. Слушать выступления даже после занесения в черные списки (CVE-2020-3471).
  3. Собирать информацию об участниках конференции, такую как полное имя, email, IP-адрес и проч. (CVE-2020-3441).

В текущем году популярность платформы Webex, по данным IBM, увеличилась в 5,5 раза — видимо, из-за COVID-19. В пиковые дни сидящие на удаленке сотрудники компаний проводили по 4 млн Webex-встреч с количеством участников до 324 миллионов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Около 40% ИТ-преступлений В России совершаются по телефону

По оценке МВД РФ, в настоящее время примерно 40% ИТ-преступлений в стране совершаются с использованием телефонной связи. В 80% случаев целью является кража денег, которые мошенники зачастую предлагают перевести на «безопасный» счет.

Эту цифру озвучил в ходе круглого стола «Известий» на тему защиты от кибермошенничества замначальника отдела по противодействию ИТ-преступлениям УБК МВД Денис Костин.

Как оказалось, в мошеннических кол-центрах существуют даже свои надзиратели, которые могут оштрафовать рядового сотрудника за малейшую провинность.

«Это всё делается в профессиональных кол-центрах с распределением ролей, — рассказывает Костин. — Если раньше, когда мошенник звонил, можно было посмеяться и задать ему вопрос: “Чей Крым?”, и он там отвечал матом и бросал трубку, то сейчас им это делать запрещено».

Операторам, в основном молодым людям, также запрещено сознаваться в попытке обмана, пока собеседник на связи. За их работой следят «менеджеры»; если подопечный сделал что-то не по протоколу, ему грозит штраф.

Большинство мошеннических звонков поступает с Украины, где развернуто более 200 кол-центров. Самые отчаянные злоумышленники, пренебрегая риском, базируются на территории России.

Возрастной состав жертв обмана, со слов Костина, тоже изменился. Если ранее в сети мошенников попадали в основном пенсионеры, то теперь в группу риска входит также молодежь.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru