聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

思科修复了 Webex 视频会议 app 中的三个漏洞，它们本可导致攻击者溜进 Webex 会议并以 ghost 用户身份参会（其他参会者不可见）。

年初疫情期间，IBM 公司的安全研究员在对思科内部使用的远程工作工具进行审计时发现了这些漏洞。

组合利用三个漏洞

思科在今天发布了这三个漏洞的补丁，它们是 CVE-2020-3441、CVE-2020-3471 和 CVE-2020-3419。

研究人员表示，结合使用这三个漏洞，本可导致攻击者：

（1）以 ghost 身份参加 Webex 会议，虽然对其他参会者不可见，但具有访问音频、视频、聊天和屏幕共享的完整权限。

（2）即使被踢出去，仍然可以以ghost 音频用户身份参会。

（3）获得参会人员的信息如全名、邮件地址和 IP 地址。即使攻击者在参会前，也可以从会议室大厅获取这些信息。

研究人员表示，这些漏洞存在于设立 Webex 新会议时发生的“握手”进程中。获得会议 URL 访问权限的攻击者可以连接到 Webex 服务器，发送恶意程序包，并操纵服务器获得对会议以及参会者详情的访问权限。

研究人员指出，“在分析过程中，我们发现了可在握手进程中遭操纵的客户端信息的具体值，导致参会人员不出现在参会者面板上。我们在 MacOS、Windows 和 iOS 版本的 Webex  Meetings 应用程序和 Webex Room Kit 工具上能够演示 ghost 用户问题。”

技术详情

研究人员分析了客户端和服务器之间的通信流量，主要关注开始的加入会议和最终的离开会议阶段。要建立正确的连接，客户端和服务器会在初始的握手进程中交换信息。例如，客户端发送关于参会人员和应用程序的信息，如参会人员的姓名、邮件地址、应用程序名称、应用程序版本和操作系统以及会议 ID。接着，服务器回复详细会议信息如会议室名称、会议室主题、会议主持人、会议访问控制、会议室功能、拨号信息等。从所交换的信息来看，客户端和服务器之间建立了多个 WebSocket，进一步沟通会议室信息如音频和视频控制。

由于客户端的信息可遭攻击者操纵，因此研究人员仔细审查了关于会议室加入信息的特殊构造值的影响。如输入可被攻击者控制，则输入验证和清理不当会制造多种问题。通过操纵关于参会者在加入会议时通过 WebSocket 发送的某些关键字段，研究人员注入了特殊构造的值，从而以 ghost 用户身份加入会议。由于对服务器以及其他参会者客户端应用程序的值处理不当，因此这样做是起作用的。例如，将 null 值注入 Lock 和 CB_SECURITY_PARAMS 字段会引发问题。

研究人员还分析了主持人发布踢出命令，查看是否会在客户端和服务器之间造成不一致状态。所有实体之间保持一致状态并不总是容易，因为客户端可被共精子和控制。选择性地通过 WebSockets 释放关键的控制信息，研究人员可造成不一致状态，使 ghost 可被成功地从主持人和其他参会者的参会者列表中删除，但 ghost 用户仍然可用音频功能。

研究人员通过拦截客户端和服务器之间的 WebSocket 通信，识别除了包含关于参会者详细信息的通信包。这种通信发生在初期加入阶段以及后续新参会者加入会议阶段。它并不仅限于已加入已锁定会议的与会人员。

由于 Webex Personal Rooms 目前未受密码保护，因此所有这类个人会议室易遭攻击。

漏洞已修复

缓解漏洞的场景是，只有在攻击者知道所调度 Webex 会议（拥有唯一的会议 URL 和 Webex Personal Rooms）的 URL的情况下，才能利用这些漏洞。

目前，思科已经发布安全公告，修复了这些漏洞，用户应立即更新至最新版本的 Webex。

思科 Webex 是除 Zoom 以外在疫情之后崛起的应用。据报道称，今年 Webex 的用户数增长了451%，Webex 一天内最多举行了400万次会议，与会人数达到3.24亿人。

完整报告和演示视频请见：http://securityintelligence.com/posts/ibm-works-with-cisco-exorcise-ghosts-webex-meetings

安全建议

IBM 还为 Webex 用户提供了一些安全建议：

（1）测试新型协作工具的安全性。随着组织机构继续远程工作，协作工具如 Webex 已证明对员工的生产力极具价值。在组织机构内挑选和执行协作工具前，对工具安全性进行测试，确保配置安全且正确。

（2）评估机密通话策略。员工应评估首次会议的敏感性，从而判断所需的安全策略。

（3）使用唯一的会议ID。如果担心通话的敏感性，则使用唯一的会议 ID 而非标准的个人会议室名称，因为后者通常是对公司名称和个人姓名的组合，易于预测。

（4）执行会议密码/PIN：使用密码或PIN，仅受邀与会者可加入会议。

（5）点名。通话前先开始点名，确保知悉与会人员。这样做有助于识别使用电话号码而非资料名称的用户，和非会员会议类似。

（6）打开通知。打开关于进入会议室人员的视频和音频通知，掌握一切动态。

（7）终止可疑通话。如果你设立的会议已受陷，则最好的方法就是立即终止通话。如果无法立即这样做，则通知并为所有参会者设置静音，使他们意识到当前情况并停止信息继续被泄露。终止通话后，将问题告知平台厂商以及所在公司的发了团队和安全团队。

（8）锁定会议。在每次会议开始前先将会议设定为自动锁定，使参会者在加入会议室之前必须获得准入许可。

（9）为连续通话重启会议。如果需要在同样的房间继续开会，则确保在每个通话之间重新开启会议。

推荐阅读

思科 Security Manager 12个0day PoC 被公开，多个严重 0day仍未修复

思科公开AnyConnect VPN 高危0day，exploit 代码已公开

Zoom 5.1.2及旧版本在 Win7 上的 DLL 劫持漏洞分析

网红视频会议应用 Zoom 被指“像吸血鬼一样靠收割个人数据敛财”

原文链接

https://www.zdnet.com/article/cisco-webex-bugs-allow-attackers-to-join-meetings-as-ghost-users/

http://securityintelligence.com/posts/ibm-works-with-cisco-exorcise-ghosts-webex-meetings

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~