聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
德国媒体 Zeit Online 在5月4日发布文章指出,德国政府在实现思科 Webex 视频会议软件的过程中存在漏洞,可被用于获得内部会议以及高级官员会议室的链接。
德国政府一直使用本地版 Webex 在本地服务器上存储数据并确保数据不会离开本国。然而,研究人员发现,进通过更改会议链接中的数字,敌对势力即可利用一个不安全的直接对象引用漏洞获取会议链接,暴露会议主题、时间以及参会人员信息,包括讨论军事活动的敏感会话等。另外,高层官员的个人会议室并未受密码保护,可导致敌对势力轻松访问并可能获得敏感信息。
3月初,俄罗斯公开了德国军方在 Webex 平台上的一份音频记录,但目前尚不清楚这两起事件之间是否存在关联。为应对这些漏洞,德国政府拦截对被暴露会议室的访问权限并将 Webex 实例下线。
思科在6月4日发布安全公告表示,已发布补丁但仍将持续关注越权活动。思科指出,“2024年5月早些时候,思科从Webex Meetings 中发现多个漏洞,我们认为这些漏洞用于针对性安全研究活动中,可越权访问托管在法兰克福数据中心的某些客户的Webex 部署中的会议信息和元数据。这些漏洞已修复并在2024年5月28日在全球范围内部署。”
思科还指出,“思科已通知那些从可用日志上观测到的会议信息和元数据被访问的客户。这些漏洞修复后,思科尚未看到利用它们进一步获取会议数据或元数据的情况。”
原文始发于微信公众号(代码卫士):德国政府会议信息遭泄露,思科修复 Webex 漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论