Bir Alman gazetecinin, Bundeswehr (Alman silahlı kuvvetleri) ve Almanya Sosyal Demokrat Partisi (SPD) tarafından kendi barındırılan Cisco Webex örnekleri aracılığıyla gerçekleştirilen video konferans toplantılarının bağlantılarını keşfetmesine olanak tanıyan güvenlik açığı, Webex bulut hizmetini de benzer şekilde etkiledi.
Cisco Webex Meetings bulut güvenlik açığı
Güvenlik açığı, “gibi bir etki alanına sahip olan” tüm kuruluşları etkiledi. organizasyonadı.webex.comBündnis 90/Die Grünen’in (Alman yeşil siyasi partisi) dijital altyapısını düzenleyen bir dernek olan Netzbegrünung’a göre.
Netzbegrünung tarafından keşfedilen ve Eva Wolfangel tarafından ZEIT Online ile doğrulanan hata, aşağıdakileri içeren geçmiş ve gelecek Webex toplantıları hakkında bilgilerin keşfedilmesine olanak sağladı:
- Ülkenin Federal Bilgi Güvenliği Dairesi (BSI), Federal Meclis (yani parlamento), çeşitli bakanlıklar, Federal Şansölyelik ve diğer federal ve eyalet daireleri
- Almanya, Hollanda, İtalya, Avusturya, Fransa, İsviçre, İrlanda ve Danimarka’daki büyük ve küçük yetkililer ve şirketler
Wolfangel, Bundeswehr ve SPD’den farklı olarak bu kuruluşların bulutta Webex kullandığını söyledi.
“Güvenlik açığının nedeni yine [the fact that] Netzbegrünung, Cisco’nun toplantılarda kullanılan numaraları atamak için rastgele sayılar kullanmadığını söyledi.
“Bu sefer Bundeswehr’in tesis içi sisteminden farklı bir sayıyı etkiliyor ancak sayma yöntemi benzer. Mobil cihazlar için yanlış yapılandırılmış bir görünümle birlikte, basit bir web tarayıcısıyla büyük miktarda meta veriye ulaşmak mümkün oldu; bu da aylarca, muhtemelen yıllarca sürdü.”
Webex toplantılarına erişim kazanmanın püf noktaları
Wolfangel, bilgilerin ve meta verilerin toplanmasının casusların ve suçluların ilgisini çekebileceğini, çünkü kimin kiminle hangi şeyleri tartıştığını, ne zaman ve ne kadar sürdüğünü bilmekten kazanç sağlayabileceklerini belirtti.
Ancak bu güvenlik açığından daha önce kötü niyetli kişiler veya gruplar tarafından yararlanılıp yararlanılmadığı bilinmiyor.
Wolfangel’in belirlediği gibi, tarayıcı veya Webex uygulaması aracılığıyla katılım (video) için şifreler gerekli olsa bile, keşfedilen toplantılardan bazılarına telefonla katılmak da mümkündü. Görünen o ki, telefonla (sesli) katılan ve “katılımcı numarasını” bilmeyenler sadece hash tuşuna basıp içeri girebiliyorlar.
Federal Göç ve Mülteciler Dairesi (BAMF) ve Barmer Krankenkasse’nin (bir sağlık sigortası şirketi) görüntülü toplantısına katılmak için bu numarayı başarıyla kullandı, ancak diğer katılımcılar konuşmaya bilinmeyen bir numaranın katıldığını fark etti.
Daha önce SPD’nin diğer tüm katılımcıların telefonla bağlandığı Webex toplantısına katıldığında “kısmen fark edilmediğini” söyledi.
Cisco düzeltmeleri uyguluyor
“Mayıs 2024’ün başlarında Cisco, Cisco Webex Meetings’de, Frankfurt veri merkezimizde barındırılan belirli müşteriler için Cisco Webex dağıtımlarındaki toplantı bilgilerine ve meta verilere yetkisiz erişime izin veren hedefli güvenlik araştırması faaliyetinde kullanıldığına inandığımız hataları tespit etti. Cisco Salı günü yaptığı açıklamada, bu hataların giderildiğini ve 28 Mayıs 2024 itibarıyla dünya çapında bir düzeltmenin tamamen uygulandığını doğruladı.
“Cisco, mevcut günlüklere dayalı olarak toplantı bilgilerine ve meta verilere erişmeye yönelik gözlemlenebilir girişimleri olan müşterileri bilgilendirdi. Hatalar düzeltildiğinden beri Cisco, hatalardan yararlanarak toplantı verilerini veya meta verileri elde etmeye yönelik herhangi bir girişimde bulunmadı.”
Netzbegrünung yönetim kurulu üyesi Max Pfeuffer, Help Net Security için toplantıları bulmak için kullandıkları yöntemin artık işe yaramadığını doğruladı.