Home Sociedad Falla de Cisco Webex, permite a los atacantes remotos no autenticados, unirse...

Falla de Cisco Webex, permite a los atacantes remotos no autenticados, unirse a reuniones privadas

Cisco ha resuelto un fallo de alta gravedad en la plataforma de videoconferencia Cisco Webex, que podría ser explotado por un atacante remoto y no autenticado para entrar en una reunión de videoconferencia protegida por contraseña.

Para explotar el fallo del CVE-2020-3142, el delincuente solo necesita conocer el ID de la reunión que, una vez insertado en la aplicación móvil de Webex para iOS o Android, le permitirá unirse a la reunión sin necesidad de autenticación.

“Una vulnerabilidad en los sitios de Cisco Webex Meetings Suite y Webex Meetings Online podría permitir a un asistente remoto no autenticado unirse a una reunión protegida por contraseña sin proporcionar la contraseña de la reunión. El intento de conexión debe iniciarse desde una aplicación móvil de Webex para iOS o Android”, dice el aviso de seguridad publicado por Cisco. “Un asistente no autorizado podría explotar esta vulnerabilidad accediendo a un ID de reunión conocido o a la URL de la reunión desde el navegador web del dispositivo móvil”.

La falla ha recibido una puntuación de 7,5 sobre 10 en el CVSS, que fue descubierta mientras sus expertos resolvían un caso de soporte Cisco TAC.

Afortunadamente, la presencia de los atacantes en la reunión es fácil de detectar porque los asistentes no autorizados serían visibles en la lista de asistentes de la reunión como asistentes móviles.

La vulnerabilidad afecta a los sitios de Cisco Webex Meetings Suite y Cisco Meetings Online para las versiones anteriores a la 39.11.5 (para la primera) y la 40.1.3 (para la segunda).

Cisco abordó la vulnerabilidad de CVE-2020-3142 con el lanzamiento de las versiones 39.11.5 y posteriores y 40.1.3 y posteriores para los sitios de Webex Meetings Suite y Webex Meetings Online.

La buena noticia es que el Equipo de Respuesta a Incidentes de Seguridad de Productos de Cisco (PSIRT) no tiene conocimiento de ningún ataque que aproveche la vulnerabilidad en estado salvaje.

Hace un par de semanas, Cisco Systems publicó correcciones de seguridad para dos vulnerabilidades de alta gravedad en sus productos, incluyendo un fallo de ejecución remota de código en la plataforma de videoconferencia Webex.

El fallo de Webex abordado por Cisco reside en la interfaz de gestión basada en web de Webex Video Mesh, una función que habilita la infraestructura local para la videoconferencia.

Con información de: Threat Post.