Cualquiera puede unirse a sus sesiones de Webex sin contraseña

Como cada semana, ha aparecido un nuevo reporte de fallas de seguridad en Webex, la plataforma de videoconferencias de Cisco. La compañía tecnológica ha publicado un informe, elaborado por su equipo de análisis de vulnerabilidades, sobre una falla recientemente descubierta. De ser explotada, esta vulnerabilidad podría permitir a un hacker remoto acceder a sesiones de videoconferencia sin necesidad de autenticación.

Acorde al reporte publicado por
Cisco, la falla es de gravedad severa y todo lo que requiere un actor de
amenazas para su explotación es conocer el número de identificación de la
sesión de Webex, además de la instalación de la aplicación móvil del servicio en
un smartphone iOS o Android.

En su reporte de análisis de vulnerabilidades, Cisco menciona que la falla existe debido a una exposición no intencionada de información durante el proceso de ingreso a una sesión de Webex en su versión móvil: “Un participante no autorizado podría explotar la vulnerabilidad accediendo a una sesión con sólo conocer la ID o URL de sesión desde el navegador de un dispositivo móvil”.

La explotación de esta falla es
un proceso trivial y requiere mínimos recursos, aunque no todo son malas
noticias. Cisco señala que cualquier actor de amenazas que explote la falla y
logre acceder a una sesión de Webex, será visible en la lista de participantes
en la videoconferencia, por lo que cualquier usuario legítimo debería detectar
sin mayor esfuerzo la intrusión a la sesión.

El equipo de análisis de vulnerabilidades de Cisco afirma que la falla ya ha sido corregida en Cisco Webex Meetings Suite y Cisco Webex Meetings, que están basados en la nube, por lo que los usuarios del servicio ya no tendrán que realizar acciones adicionales para su corrección. La compañía concluyó su mensaje mencionando que no se han reportado casos de explotación en escenarios reales.

El Instituto Internacional de
Seguridad Cibernética (IICS) menciona que es altamente probable que la falla
haya sido detectada antes de que los actores de amenaza la encontraran. No
obstante, aún queda una compleja labor para Cisco, que consiste en investigar y
determinar de manera fehaciente que la vulnerabilidad no fue explotada por
ningún usuario malicioso.

Múltiples vulnerabilidades en las
versiones móviles de Webex han sido reportadas anteriormente. Hace algunos
meses fue hallada una falla en la versión de Webex para Android; la explotación
de esta vulnerabilidad permitía a los atacantes extraer credenciales de inicios
de sesión usando enlaces a sitios plagados de malware.