Cisco’nun Webex sohbetinin (eski adıyla IMI Chat olarak bilinir), yüzlerce ila binlerce kuruluşun hassas sohbet geçmişlerini ortaya çıkaran önemli bir güvenlik kusuru olduğu bulundu.
İstismar, yetkisiz saldırganların milyonlarca canlı müşteri destek mesajına erişmesine izin verdi, bu da potansiyel olarak hassas müşteri ve organizasyonel verilerden ödün verdi.
Bu kusur hem dahili yardım masası sistemlerini hem de müşteriye dönük ortamları etkiledi ve kurumsal iletişim araçlarında veri güvenliği konusunda endişeleri artırdı.
Güvenlik Açığı Nasıl Çalışır?
Cisco Webex Chat, Cisco’nun 2021’de IMI Engage (IMI CHAT) satın almasının ardından bir müşteri katılım çözümü olarak öne çıktı.
Geliştiricilerin canlı sohbet widget’larını bir JavaScript (JS) dosyası ve APP_ID aracılığıyla web sitelerine ve uygulamalarına yerleştirmelerini sağlayarak, hizmet verilen müşteri ajanı etkileşimleri. Ancak, dağıtımın basitleştirilmesinde, sistem yanlışlıkla ciddi güvenlik boşlukları yarattı.
Collect Threat Intelligence with TI Lookup to Improve Your Company’s Security - Get 50 Free Request
Ophion Security, bir kullanıcı Cisco Webex sohbet widget’ıyla bir sayfaya eriştiğinde, /Ayarlar uç noktasını denilen widget’ın [https://chat-widget.imi.chat/livechats/APP_ID/settings?host=ALLOWED_DOMAIN&$callback=?]
Bu uç nokta, bir ClientKey ile birlikte sohbet yapılandırmalarını (örn. Pencere renkleri, başlıklar) döndürdü.
ClientKey daha sonra sohbet ortamını yapılandırmak ve iletişimi başlatmak için birden fazla API çağrısında kullanıldı.
Sorun, kamuya açık bir değer olan ClientKey’in hassas API çağrılarında bir SecretKey olarak kullanıldığı için ortaya çıkıyor. Örneğin, bir sohbet oturumu kurulumu sırasında, aşağıdaki API isteği başlıktaki ClientKey’i bir sır olarak geçti:
Bu yanlış anahtar yeniden kullanım, saldırganların aynı uç noktaya bir GET isteği göndererek ve iş parçacığı kimlikleri ve başlıklar da dahil olmak üzere iş parçacığı meta verilerini çıkararak bir müşteri için oluşturulan tüm iş parçacıklarını listelemesine izin verdi.
Sohbet geçmişlerini almak
Daha fazla araştırma, saldırganların önceki sohbet geçmişlerini almak için tasarlanmış başka bir API uç noktasından yararlanabileceğini ortaya koydu.
WebEx Chat’in JavaScript dosyasını analiz ederek (https://media.imi.chat/widget/js/imichatwidgetv2.js), [https://chat-widget.imi.chat/profile/GetPreviousChatHistory] API uç noktası tanımlandı:
Saldırganlar, kişisel olarak tanımlanabilir bilgiler (PII), güvenlik verileri (örneğin, kimlik bilgileri, dahili iş akışları) ve gizli müşteri ajanı değişimleri gibi hassas bilgiler de dahil olmak üzere sohbet görüşmelerinin tam metnini alabilir.
Beklenenden daha uzun sürmesine rağmen, Cisco’nun yanıtı nihayetinde sorunu çözdü, ancak bu olay SaaS sektörüne bir uyarı görevi görmelidir. Otomatik hacker araçlarıyla düzenli olarak test etmek, şirketinizi güvence altına almanıza ve bu tür maruziyetlerden kaçınmanıza yardımcı olacaktır.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler için bizi Google News, LinkedIn ve X’te takip edin.