Broadworks sürüm 45.2 için Cisco Webex’te yeni açıklanan bir güvenlik açığı, uzaktan saldırganların oturum başlatma protokolü (SIP) iletişiminin şifrelemeden yoksun olduğunda hassas kimlik bilgilerini ve kullanıcı verilerini engellemelerini sağlar.
Düşük şiddet olarak derecelendirilen ancak önemli operasyonel sonuçlarla derecelendirilen bu güvenlik açığı, teminatsız taşıma protokollerine dayanan hibrit telefon dağıtımlarındaki riskleri vurgulamaktadır.
Güvenlik açığı, Windows tabanlı ortamlarda ses ve video oturumları oluşturmak için kullanılan SIP başlıkları meta veri paketlerinin yanlış kullanımı nedeniyle ortaya çıkar.
Broadworks Güvenlik Açığı için Cisco Webex
Kuruluşlar Taşıma Katmanı Güvenliği (TLS) veya Güvenli Gerçek Zamanlı Taşıma Protokolü (SRTP) olmadan SIP’yi yapılandırdığında, bu başlıklara gömülü kimlik doğrulama kimlik bilgileri ortaya çıkar.
Aynı ağ segmentindeki saldırganlar, kullanıcı adları, şifreler ve oturum belirteçleri gibi kimlik bilgilerini yakalamak için ortadaki insan (MITM) saldırıları yoluyla bunu kullanabilir.
İkincil bir sorun riski artırır: Günlük erişimi olan kimlik doğrulamalı kullanıcılar, istemci ve sunucu günlüklerinden düz metin kimlik bilgilerini çıkarabilir.
Bu ikili pozlama vektörü, yanal hareket veya kimliğe bürünme saldırıları için kimlik doğru hasat sağlar.
Cisco, Hibrid Cloud/Şirket içi dağıtımlar da dahil olmak üzere Windows sunucularında çalışan 45.2 sürümünü sadece etkilediğini doğruladı. Linux ve macOS uygulamaları etkilenmez.
VoIP sistemlerinin temel taşı olan SIP, şifrelenmedikçe sinyal verilerini temiz metin içinde iletir. Savunmasız yapılandırmalarda, SIP trafiğini ele geçiren saldırganlar şunları yapabilir:
- Kimlik bilgilerini çalmak için kimlik doğrulama başlıklarını yeniden yapılandırın.
- Meşru kullanıcıları işbirliği araçlarına veya bağlantılı hizmetlere erişmek için taklit edin.
- Aktif çağrıları veya toplantıları ele geçirmek için oturum ayrıntılarını alın.
Kusurun düşük saldırı karmaşıklığı (CVSSV4.0: 0.6) ve gerekli ayrıcalıkların eksikliği onu fırsatçı aktörler için erişilebilir kılar.
Şu anda, Cisco Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), güvenlik açığının veya kamuya açık duyuruların kötü niyetli kullanımının farkında değildir.
Azaltma stratejileri ve yama dağıtım
Cisco, SIP için TLS/SRTP’yi uygulamak için otomatik olarak yapılandırma güncellemelerini itti, ancak yöneticilerin değişiklikleri etkinleştirmek için WebEx uygulamalarını yeniden başlatması gerekiyor. Geçici geçici çözümler şunları içerir:
- TLS 1.2+ ve SRTP aracılığıyla şifreli SIP aktarımının uygulanması.
- Tüm Broadworks Entegre Hesaplar için Dönen Kimlik Bilgileri.
- Düz metin kimlik bilgisi erişimini kısıtlamak için günlük depolama izinlerinin denetlenmesi.
Cisco Unified Sınır Elemanı (Cube) veya Üçüncü Taraf Oturumu Sınır Denetleyicileri (SBCS) kullanan hibrit dağıtımlar, SIP başlık şifrelemesini uçtan uca doğrulamalıdır.
Ağ segmentasyonu ve saldırı algılama sistemleri (ID’ler), yama sırasında savunmasız bileşenleri daha da izole edebilir.
Windows’ta Broadworks sürüm 45.2 için Cisco Webex kullanan kuruluşlar yeniden başlatma ve şifreleme denetimlerine öncelik vermelidir.
Birleşik iletişim geliştikçe, eski sistem entegrasyonunu modern güvenlik protokolleriyle dengelemek fırsatçı saldırıları engellemek için kritik öneme sahiptir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free