Πανελλαδικά οι γονείς, οι εκπαιδευτικοί και οι μαθητές γνωρίζουν από πρώτο χέρι πλέον, τι σημαίνει Webex. Τα όποια προβλήματα στην συνδεσιμότητα και σταθερότητα της τηλεκπαίδευσης είναι ασήμαντα μπροστά σε «ιστορίες» με χάκερ που εισέβαλαν και προκάλεσαν προβλήματα.
Το Cisco Webex όπως γνωρίζετε είναι ένα διαδικτυακό λογισμικό τηλεδιάσκεψης με δυνατότητες χρήσης λογισμικών παρουσίασης, κοινής χρήσης οθόνης και εγγραφής της βιντεοδιάσκεψης.
Η πλατφόρμα αυτή, των απομακρυσμένων συσκέψεων της Cisco, σημείωσε αύξηση στη χρήση της κατά 451% σε διάστημα τεσσάρων μηνών λόγω της τρέχουσας πανδημίας COVID-19, με περίπου 4 εκατομμύρια συναντήσεις να φιλοξενούνται σε μια μέρα για 324 εκατομμύρια χρήστες στο αποκορύφωμά της.
Μέσα σε αυτή την απότομη αλλαγή δεδομένων, κακόβουλοι χρήστες βρήκαν ευκαιρία να εκμεταλλευτούν τι ευπάθειες του Webex και να θέσουν σε κίνδυνο διαρροής όχι μόνο τις ιδιωτικές συναντήσεις ανθρώπων αλλά και τα προσωπικά δεδομένα (αρχεία, ονόματα, τηλέφωνα, διευθύνσεις IP κλπ)
Οι Ghost «εισβολείς» στο Webex
Όπως ανακάλυψαν οι ερευνητές της IBM σε συνεργασία με την Cisco για οι κακόβουλοι hackers που εκμεταλλεύονται τις ευπάθειες του Webex μπορούσαν να γίνουν χρήστες «φαντάσματα» (Ghosts) σε μια συνάντηση χωρίς καν να εντοπιστούν.
Οι «Ghost» χρήστες είναι συμμετέχοντες σε σύσκεψη που δεν είναι ορατοί στη λίστα των συνδεδεμένων χρηστών, αλλά μπορούν να ακούσουν, να μιλήσουν και να βλέπουν τα αρχεία που διαμοιράζονται μέσα στη συνάντηση.
Στην έρευνά της, η IBM εντόπισε τρία κρίσιμα σφάλματα που επέτρεψαν στους «επιτιθέμενους» να παραμείνουν στη σύσκεψη Webex και να διατηρήσουν την σύνδεση τους ακόμα και μετά την αφαίρεσή τους από τους διαχειριστές ενώ διατηρούσαν και την πρόσβαση στις πληροφορίες των συνδεδεμένων χρηστών του Webex.
Όταν αξιοποιήθηκαν επιτυχώς οι ευπάθειες από τους ερευνητές της IBM, διαπίστωσαν ότι μπορούσαν να:
- Λάβουν μέρος σε μια συνάντηση Webex ως «φαντάσματα» χωρίς να εμφανίζονται στη λίστα συμμετεχόντων με πλήρη πρόσβαση σε ήχο, βίντεο, συνομιλίες και κοινής χρήσης οθόνης ( CVE-2020-3419 )
- Μείνουν σε μια συνάντηση Webex ως «Ghosts» ακόμα και αν αποβληθούν από αυτήν, διατηρώντας τη σύνδεση ήχου ( CVE-2020-3471 )
- Αποκτήσουν πρόσβαση σε πληροφορίες σχετικά με τους συμμετέχοντες στη σύσκεψη – συμπεριλαμβανομένων των πλήρων ονομάτων, των email και των διευθύνσεων IP – ακόμη και χωρίς να γίνονται δεκτοί στην κλήση ( CVE-2020-3441 )
Μετά την επιτυχή εκμετάλλευση, οι μη εξουσιοδοτημένοι χρήστες θα μπορούσαν να εκτελέσουν εντολές (με δικαιώματα root σε ορισμένες περιπτώσεις) και να αποκτήσουν πρόσβαση στην back-end βάση δεδομένων των παραβιασμένων συστημάτων.
Οι ερευνητές της IBM μπόρεσαν να επιδείξουν επιτυχώς τις επιθέσεις εκμετάλλευσης αυτών των σφαλμάτων Webex σε Windows, macOS και την έκδοση iOS των εφαρμογών Webex Meetings και αλλά και της συσκευής Webex Room Kit.
Όσοι χρησιμοποιείτε τις εφαρμογές Webex σε Windows, macOS, iOS, Android, συνιστάται να κάνετε άμεση ενημέρωση στην πιο πρόσφατη έκδοση του Webex για να λάβετε τις ενημερωμένες εκδόσεις που επιδιορθώνουν τις παραπάνω ευπάθειες. Όσοι είστε χρήστες Linux και χρησιμοποιείτε το Webex μέσω του browser σας, δεν χρειάζεται να κάνετε τίποτα.
Παραπομπές:
- The Global Remote Work Productivity Tracker
- IBM Works With Cisco to Exorcise Ghosts From Webex Meetings
Linux-User
Technopolitan.gr
Termatiko
Cerebrux 
οσο γινοταν τα μαθηματα μεσα στα σχολεια,υπηρχε ενα μπαχαλο,και ο καθε ενας εφαρμοζε την δικη του λογικη.τωρα με τις τηλεεργασιες σφιχτηκαν οι ..ολοι
Το παρατήρησα και εγώ αυτό που λες. Σα να πιέστηκαν λίγο γιατί σου λέει θα με δουν και γονείς !
Χμμμμ , πολυ ενδιαφέρον άρθρο !!! Άκουγα δεξιά & αριστερά ότι το Webex της Cisco σε θέματα ασφαλείας ειναι απαραβίαστο & πως δεν χακαρετε !
Άρα εφεξής να το κατατάξουμε & αυτό στη λίστα με τα «Αξιόλογα Σουρωτήρια» ή άπλα είναι ακραία υπερβολικό ;
Θα παρακαλούσα θερμά αν είναι εφικτό, οποιαδήποτε ενημέρωση ευπάθειας γίνεται γνωστή, να ανανεώνεται το παρον άρθρο .
Επίσης όπου & αν ρώτησα για ποιό λόγο δεν υπήρξε plan B σε περιπτωση που δε λειτουργουσε η πλατφόρμα Webex ικανοποιητικα , με καποια αλλη εναλλακτική ώστε να μην χαθουν ωρες διδασκαλίας απάντηση δεν έλαβα .
Ευχαριστώ θερμά .