聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
媒体报道称德国政府的 Webex 会议遭暴露,可能导致敌对势力获取高度敏感信息。本周二,思科发布安全公告。
德国媒体 Zeit Online 在5月4日发布文章指出,德国政府在实现思科 Webex 视频会议软件的过程中存在漏洞,可被用于获得内部会议以及高级官员会议室的链接。
德国政府一直使用本地版 Webex 在本地服务器上存储数据并确保数据不会离开本国。然而,研究人员发现,进通过更改会议链接中的数字,敌对势力即可利用一个不安全的直接对象引用漏洞获取会议链接,暴露会议主题、时间以及参会人员信息,包括讨论军事活动的敏感会话等。另外,高层官员的个人会议室并未受密码保护,可导致敌对势力轻松访问并可能获得敏感信息。
3月初,俄罗斯公开了德国军方在 Webex 平台上的一份音频记录,但目前尚不清楚这两起事件之间是否存在关联。为应对这些漏洞,德国政府拦截对被暴露会议室的访问权限并将 Webex 实例下线。
思科在6月4日发布安全公告表示,已发布补丁但仍将持续关注越权活动。思科指出,“2024年5月早些时候,思科从Webex Meetings 中发现多个漏洞,我们认为这些漏洞用于针对性安全研究活动中,可越权访问托管在法兰克福数据中心的某些客户的Webex 部署中的会议信息和元数据。这些漏洞已修复并在2024年5月28日在全球范围内部署。”
思科还指出,“思科已通知那些从可用日志上观测到的会议信息和元数据被访问的客户。这些漏洞修复后,思科尚未看到利用它们进一步获取会议数据或元数据的情况。”
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
思科提醒注意Small Business路由器中的XSS漏洞
原文链接
https://www.securityweek.com/cisco-patches-webex-bugs-following-exposure-of-german-government-meetings/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~