Cisco Webex for BroadWorks漏洞让远程攻击者能够访问数据和凭据

Cisco Webex for BroadWorks 版本 45.2 中新披露的漏洞使远程攻击者能够在会话发起协议 （SIP） 通信未加密时拦截敏感凭证和用户数据。

此漏洞的严重性评级为低，但对运营有重大影响，凸显了依赖不安全传输协议的混合电话部署中的风险。

该漏洞是由于在基于 Windows 的环境中未正确处理用于建立语音和视频会话的 SIP 报头元数据数据包而引起的。

Cisco Webex for BroadWorks 漏洞

当组织在没有传输层安全性 （TLS） 或安全实时传输协议 （SRTP） 的情况下配置 SIP 时，嵌入在这些标头中的身份验证凭据将暴露出来。

同一网段上的攻击者可以通过中间人 （MitM） 攻击来利用这一点来捕获用户名、密码和会话令牌等凭据。

第二个问题加剧了风险：具有日志访问权限的经过身份验证的用户可以从客户端和服务器日志中提取纯文本凭据。

这种双重暴露向量支持为横向移动或模拟攻击收集凭据。

Cisco 确认该漏洞仅影响在 Windows 服务器上运行的 45.2 版本，包括混合云/本地部署。Linux 和 macOS 实施不受影响。

SIP 是 VoIP 系统的基础，除非加密，否则它以明文形式传输信令数据。在易受攻击的配置中，拦截 SIP 流量的攻击者可以：

• 重建身份验证标头以窃取凭据。

• 模拟合法用户以访问协作工具或链接服务。

• 提取会话详细信息以劫持正在进行的呼叫或会议。

该漏洞的攻击复杂度较低 （CVSSv4.0：0.6） 且缺乏所需的权限，因此机会主义行为者可以对其进行访问。

目前，思科产品安全事件响应团队 （PSIRT） 尚未发现任何恶意使用漏洞的行为或公开公告。

缓解策略和补丁部署

Cisco 自动推送配置更新以强制实施 SIP 的 TLS/SRTP，但管理员必须重新启动 Webex 应用程序才能激活更改。临时解决方法包括：

• 通过 TLS 1.2+ 和 SRTP 强制执行加密的 SIP 传输。

• 轮换所有 BroadWorks 集成账户的凭证。

• 审核日志存储权限以限制纯文本凭证访问。

使用 Cisco Unified Border Element （CUBE） 或第三方会话边界控制器 （SBC） 的混合部署必须端到端验证 SIP 报头加密。

网络分段和入侵检测系统 （IDS） 可以在修补过程中进一步隔离易受攻击的组件。

在 Windows 上使用 Cisco Webex for BroadWorks 版本 45.2 的组织必须优先考虑重新启动和加密审核。

随着统一通信的发展，平衡传统系统集成与现代安全协议对于挫败机会主义攻击仍然至关重要。

原文来自: cybersecuritynews.com