سسکو
مشہور ویبیکس ویڈیو کانفرنسنگ پلیٹ فارم میں سیکیورٹی کی خرابی کی وجہ سے غیر مجاز یا غیر تصدیق شدہ صارفین کو نجی آن لائن میٹنگوں میں شامل ہونے کی اجازت دی گئی ہے۔ ممکنہ طور پر کامیاب جاسوسی کی کوششوں کے رازداری اور گیٹ وے کو اس طرح کا ایک سنگین خطرہ ویبیکس کی بنیادی کمپنی ، سسکو سسٹمز نے تیار کیا تھا۔
سسکو سسٹمز کے ذریعہ دریافت شدہ اور اس کے نتیجے میں دریافت ہونے والی ایک اور خرابی کی وجہ سے کسی بھی غیر مجاز اجنبی کو ورچوئل اور نجی ملاقاتوں ، یہاں تک کہ پاس ورڈ کے ذریعہ محفوظ کردہ ، اور چھپے ہوئے الفاظ میں بھی چھپنے کی اجازت دی گئی۔ کامیابی سے ہیک یا حملے کو دور کرنے کے لئے صرف اجزاء کی ضرورت تھی میٹنگ آئی ڈی اور وییکس موبائل ایپلی کیشن۔
سسکو سسٹمز نے 7.5 کی شدت کی درجہ بندی کے ساتھ وییکس ویڈیو کانفرنس میں سیکیورٹی کے کمزوری کو دریافت کیا:
سسکو نے اشارہ کیا ، کہ کسی بھی قسم کی تصدیق کی ضرورت کے بغیر ریموٹ حملہ آور کے ذریعہ وییکس میں موجود حفاظتی نقص کا فائدہ اٹھایا جاسکتا ہے۔ حملہ آور کو محض میٹنگ آئی ڈی اور وییکس موبائل ایپلی کیشن کی ضرورت ہوگی۔ دلچسپ بات یہ ہے کہ ، Webex کے لئے iOS اور Android دونوں موبائل ایپلی کیشنز کو حملہ شروع کرنے کے لئے استعمال کیا جاسکتا ہے ، سسکو کو مطلع کیا گیا جمعہ کی ایڈوائزری ،
'ایک غیر مجاز شرکا موبائل فون کے ویب براؤزر سے نامعلوم میٹنگ آئی ڈی تک رسائی حاصل کرنے یا یو آر ایل سے ملاقات کرکے اس خطرے کا فائدہ اٹھا سکتا ہے۔ اس کے بعد براؤزر آلہ کا Webex موبائل ایپلی کیشن لانچ کرنے کی درخواست کرے گا۔ اس کے بعد ، انٹلوپر موبائل ویبیک ایپ کے ذریعہ مخصوص میٹنگ تک رسائی حاصل کرسکتا ہے ، پاس ورڈ کی ضرورت نہیں ہے۔ '
آر ٹی خطرہ: A # سسکو خامی سے دور دراز ، غیر تصدیق شدہ حملہ آور پاس ورڈ سے محفوظ ویڈیو کانفرنس میٹنگ میں داخل ہوسکتا ہے۔ #ICYMI https://t.co/gbNkUyOYN9
- میڈو ماؤنٹین ٹیک (@ میڈو مایمٹیک) 26 جنوری ، 2020
سسکو نے اس خرابی کی بنیادی وجہ معلوم کی ہے۔ 'اس خطرے کی وجہ موبائل ایپلی کیشنز کے لئے مخصوص میٹنگ میں شامل ہونے والے غیر یقینی اجلاس کی معلومات کو ظاہر کرنا ہے۔ غیر مجاز شرکا موبائل فون کے ویب براؤزر سے معروف میٹنگ آئی ڈی تک رسائی حاصل کرنے یا یو آر ایل سے ملاقات کرکے اس خطرے کا فائدہ اٹھا سکتا ہے۔
ورچوئل میٹنگ میں شرکت کرنے والوں کی فہرست ہی وہ پہلو تھی جو اس روش کو صاف کرتا تھا۔ مجلس کی شرکاء کی فہرست میں غیر مجاز شرکاء بطور موبائل حاضر ہوں گے۔ دوسرے لفظوں میں ، تمام لوگوں کی موجودگی کا پتہ لگایا جاسکتا ہے ، لیکن انتظامیہ کے لئے غیر مجاز افراد کی شناخت کے لئے مجاز اہلکاروں کے خلاف فہرست کا انتخاب کرنا ہے۔ اگر اس کا پتہ نہیں چلا تو ، حملہ آور ممکنہ طور پر خفیہ یا کاروباری اہم اجلاس سے متعلق تفصیلات پر آسانی سے چھپا سکتا ہے ThreatPost .
سسکو پروڈکٹ سیکیورٹی واقعہ رسپانس ٹیم نے Webex میں کمزوری کا پیچھا کیا:
سسکو سسٹمز نے حال ہی میں سیکیورٹی کی خامی کو دریافت کیا اور ان کی مدد کی 10 میں سے 7.5 کا ایک سی وی ایس ایس اسکور ہے۔ اتفاق سے سیکیورٹی کے خطرے کو باضابطہ طور پر ٹریک کیا گیا ہے CVE-2020-3142 ، اندرونی تحقیقات اور سسکو ٹی اے سی کے ایک اور سپورٹ کیس کے حل کے دوران پایا گیا تھا۔ سسکو نے مزید کہا ہے کہ اس خامی کے بے نقاب ہونے یا ان کے استحصال کے بارے میں کوئی تصدیق شدہ اطلاعات موصول نہیں ہوئی ہیں ، 'سسکو پروڈکٹ سیکیورٹی واقعہ رسپانس ٹیم (PSIRT) اس خطرے سے متعلق عوامی اعلانات سے آگاہ نہیں ہے جس کا بیان اس مشورے میں کیا گیا ہے۔'
ویبیکس فال نے کسی کو بھی نجی آن لائن میٹنگوں میں شامل ہونے کی اجازت دی - کوئی پاس ورڈ درکار نہیں https://t.co/F9rQ4UA2Mm pic.twitter.com/7uftEBe15T
- گراہم کلولی (gcluley) 26 جنوری ، 2020
کمزور سسکو سسٹمز ویبیکس ویڈیو کانفرنسنگ پلیٹ فارمز 39.11.5 (سابقہ کے لئے) اور 40.1.3 (بعد کے) سے پہلے والے ورژن کے لئے سسکو ویبیکس میٹنگ سویٹ سائٹس اور سسکو ویبیکس میٹنگز آن لائن سائٹیں تھیں۔ سسکو نے ورژن 39.11.5 اور اس کے بعد ، سسکو ویبیکس میٹنگ سویٹ سائٹس اور سسکو ویبیکس میٹنگز آن لائن سائٹ کے ورژن 40.1.3 میں خطرہ کو خطرے سے دوچار کیا اور بعد میں اس کو پیچ بنایا گیا۔
ٹیگز سسکو
