Vulnerabilidade no serviço de nuvem Cisco Webex expôs autoridades governamentais e empresas

A vulnerabilidade que permitiu a um jornalista alemão descobrir links para reuniões de videoconferência realizadas pelo Bundeswehr (as forças armadas alemãs) e pelo Partido Social Democrata da Alemanha (SPD) através de suas instâncias Cisco Webex auto-hospedadas afetou de forma semelhante o serviço de nuvem Webex.

A vulnerabilidade da nuvem Cisco Webex Meetings

A vulnerabilidade afetou todas as organizações “que possuem um domínio como OrganizationsName.webex.com ”, de acordo com a Netzbegrünung, uma associação que organiza a infraestrutura digital do Bündnis 90/Die Grünen (um partido político verde alemão).

Descoberto pela Netzbegrünung e verificado por Eva Wolfangel com ZEIT Online, o bug permitiu a descoberta de informações sobre reuniões Webex passadas e futuras envolvendo:

  • O Escritório Federal de Segurança da Informação (BSI) do país, o Bundestag (ou seja, o parlamento), vários ministérios, a Chancelaria Federal e outros escritórios federais e estaduais
  • Autoridades e empresas – grandes e pequenas – na Alemanha, Holanda, Itália, Áustria, França, Suíça, Irlanda e Dinamarca

Ao contrário do Bundeswehr e do SPD, essas organizações usam o Webex na nuvem, disse Wolfangel .

“A causa da vulnerabilidade é novamente [o fato de] a Cisco não usar números aleatórios para atribuir números usados ​​para reuniões”, explicou Netzbegrünung .

“Desta vez, afeta um número diferente do sistema local da Bundeswehr, mas o método de contagem é semelhante. Em combinação com uma visualização configurada incorretamente para dispositivos móveis, foi então possível recuperar uma enorme quantidade de metadados com um simples navegador da web – e isso por meses, provavelmente anos.”

Truques para obter acesso às reuniões Webex

As informações e os metadados das reuniões podem ser de interesse para espiões e criminosos, observou Wolfangel, pois eles podem lucrar ao saber quem está discutindo quais coisas, com quem, quando e quanto tempo durou a discussão.

Mas não se sabe se a vulnerabilidade foi anteriormente explorada por indivíduos ou grupos maliciosos.

Conforme estabelecido por Wolfangel, também foi possível participar de algumas das reuniões descobertas, mesmo que fossem necessárias senhas para participar (de vídeo) via navegador ou aplicativo Webex. Aparentemente, quem entra (áudio) por telefone e não sabe o seu “número de participante” pode simplesmente pressionar a tecla hash e ter permissão para entrar.

Ela usou esse truque com sucesso para participar de uma videoconferência do Escritório Federal para Migração e Refugiados (BAMF) e da Barmer Krankenkasse (uma empresa de seguros de saúde), embora os outros participantes tenham notado que um número desconhecido entrou na conversa.

Quando ela participou anteriormente de uma reunião Webex do SPD, onde todos os outros participantes estavam conectados por telefone, ela disse que passou “parcialmente despercebida”.

Cisco implementa correções

“No início de maio de 2024, a Cisco identificou bugs no Cisco Webex Meetings que agora acreditamos terem sido aproveitados em atividades de pesquisa de segurança direcionadas, permitindo acesso não autorizado a informações e metadados de reuniões em implantações do Cisco Webex para determinados clientes hospedados em nosso data center em Frankfurt. Esses bugs foram resolvidos e uma correção foi totalmente implementada em todo o mundo a partir de 28 de maio de 2024”, confirmou a Cisco na terça-feira.

“A Cisco notificou os clientes que tiveram tentativas observáveis ​​de acessar informações e metadados de reuniões com base nos logs disponíveis. Desde que os bugs foram corrigidos, a Cisco não observou nenhuma outra tentativa de obter dados de reuniões ou metadados aproveitando os bugs.”

O membro do conselho da Netzbegrünung, Max Pfeuffer, confirmou para Help Net Security que o método usado para localizar as reuniões não funciona mais.