安全厂商Cequence Security及CQ Prime本周披露视频会议工具包括Cisco WebEx Meetings、Zoom有枚举攻击漏洞,可让攻击者发现并加入线上商务会议,可能导致敏感数据外泄。
视频会议或线上文件共享服务会在会议前,派发一组以英文本母或数字组成的会议ID给散居各地的成员,方便他们通过网络连入会议。会议主持人可选择要不要另外设密码。研究人员发现视频会议平台存在他们称为“第三只眼”(Prying Eye)的枚举攻击(enumeration attack)漏洞,攻击者以bot等自动化工具扫瞄这些平台的API,通过系统API调用的回应,枚举出哪些会议ID是有效的,以及是否需要密码。如果会议未设密码,攻击者即可以参加者身份,连进会议听取演示文稿或读取内容。
研究团队发现这项漏洞影响思科Cisco WebEx Meetings、Zoom,并于7月分别通报两家公司。思科周三发布安全公告,但思科不认为这是一项“漏洞”,而是设置问题,但思科仍警告WebEx Meetings用户需为会议设密码保护,以免不相干的人进入线上会议。
会议设了密码,攻击者虽然得知会议ID,但无法取得会议名称、时间、主持人名称,也无法加入会议。思科也指出,即使加入会议,攻击者也会被发现而遭驱逐。Zoom也在9月中更新Meeting和Webinar两项产品,默认会议需设密码。
Zoom 7月间也曾被发现Mac版用户端软件内置本地网页服务器,可能让黑客远程启动摄影机或发动拒绝服务(DoS)攻击。苹果隔天也迅速将这个软件组件从Zoom Mac版用户端移除。