• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Fallo en Cisco WebEx permitiría el acceso a reuniones privadas

Fallo en Cisco WebEx permitiría el acceso a reuniones privadas

26 enero, 2020 Por Juan José Ruiz Deja un comentario

Cisco Systems ha solucionado una vulnerabilidad de alta gravedad en su popular plataforma de videoconferencia WebEx que podría permitir la intervención de extraños en reuniones privadas protegidas por contraseña, sin necesidad de autentificación.

1

WebEx es un popular servicio que permite realizar reuniones en línea como si se llevaran a cabo de forma presencial, con la posibilidad de compartir documentos, ofrecer presentaciones, mostrar productos y servicios, etc. así como realizar grabaciones de las mismas.

Se ha hecho publico un fallo de seguridad en Cisco WebEx que podría permitir que un atacante remoto no autentificado ingresase en una reunión de videoconferencia protegida con contraseña. El problema se debe a la exposición involuntaria de información de la reunión en un flujo de unión a la reunión que es específico para aplicaciones móviles. Por tanto los únicos requisitos para poder aprovechar la vulnerabilidad son conocer la ID o URL de la reunión y disponer de la aplicación WebEx para los sistemas móviles iOS o Android.

Los asistentes no autorizados serían visibles en la lista de asistentes de la reunión como asistentes móviles, con lo cual su presencia podría ser detectada por otros participantes de la reunión. Sin embargo, si estos pasasen desapercibidos o no levantasen sospechas entre el resto de asistentes, podría suponer la revelación de cualquier tipo de información sensible que se compartiese en la reunión privada.

La vulnerabilidad, identificada como CVE-2020-3142 y con una puntuación CVSS de 7.5 sobre 10 debido a la facilidad de explotación, fue descubierta internamente durante la resolución de un caso de soporte de Cisco TAC. El equipo de respuesta a incidentes de seguridad de productos de Cisco (PSIRT) ha declarado no tener constancia de ningún anuncio público o explotación de la vulnerabilidad.

Se encuentran afectados los sitios de Cisco WebEx Meetings Suite en versiones anteriores a 39.11.5 y los sitios de Cisco WebEx Meetings Online en versiones anteriores a 40.1.3.

Aunque Cisco ha corregido esta vulnerabilidad y no se requiere interacción del usuario para la actualización, resulta recomendable verificar que la plataforma Cisco Webex utilizada se encuentre actualizada. Para ello se pueden seguir los siguientes pasos:

  • Iniciar sesión en el sitio de Cisco WebEx Meetings Suite o en el sitio de Cisco WebEx Meetings Online.
  • Navegar a Descargas en el lado izquierdo de la página.
  • Colocar el cursor sobre la i junto a «Información de la versión».
  • Verificar el valor que se muestra junto a la versión de la página.

Más información:
Cisco WebEx Meetings Suite and Cisco WebEx Meetings Online Unauthenticated Meeting Join Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200124-webex-unauthjoin

CVE-2020-3142 Detail
https://nvd.nist.gov/vuln/detail/CVE-2020-3142

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Vulnerabilidades Etiquetado como: Cisco, CVE-2020-3142, WebEx

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Routers de diversos fabricantes objetivos del nuevo malware ZuoRAT
  • Microsoft anuncia que ya ha solucionado los problemas con RRAS en Windows Server para todos los usuarios
  • Las apps de mensajería y videoconferencia te escuchan incluso cuando estás "muteado"
  • Tencent admite un ataque de código QR en su plataforma de chat QQ.com
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.

Entradas recientes

  • Routers de diversos fabricantes objetivos del nuevo malware ZuoRAT
  • Microsoft anuncia que ya ha solucionado los problemas con RRAS en Windows Server para todos los usuarios
  • Tencent admite un ataque de código QR en su plataforma de chat QQ.com
  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Routers de diversos fabricantes objetivos del nuevo malware ZuoRAT
  • Microsoft anuncia que ya ha solucionado los problemas con RRAS en Windows Server para todos los usuarios
  • Tencent admite un ataque de código QR en su plataforma de chat QQ.com
  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...