Sommario
Cisco ha recentemente risolto una serie di bug che permettevano a chiunque di visualizzare le informazioni delle riunioni WebEx e di unirsi a esse, sollevando preoccupazioni di sicurezza e privacy per incontri altamente sensibili colmi di vulnerabilità informatiche. Questi problemi sono stati portati alla luce il 4 maggio quando il sito di notizie tedesco Zeit Online ha pubblicato un’indagine che mostrava come fosse possibile visualizzare i dettagli delle riunioni di circa 10.000 conferenze del governo olandese.
Dettagli delle Vulnerabilità
I bug permettevano agli osservatori di trovare dettagli delle riunioni come luogo, data, identità dell’ospitante, durata, partecipanti e agenda. Tra le persone i cui dati erano visibili vi erano il ministro dell’edilizia abitativa olandese Hugo de Jonge, il segretario di Stato Alexandra van Huffelen e Dilan Yeşilgöz, leader del Partito Popolare per la Libertà e la Democrazia. In alcuni casi, i funzionari tedeschi potrebbero essere stati compromessi in misura maggiore rispetto a quelli olandesi, dato che il governo tedesco, almeno in alcuni casi, non protegge con password le conferenze WebEx.
Investigazioni e scoperte
Gli investigatori hanno ricevuto link a migliaia di riunioni ospitate dalle forze armate tedesche (Bundeswehr) dalla Netzbegrünung, l’associazione tedesca per la cultura web verde. Hanno potuto partecipare alle assemblee del Partito Socialdemocratico tedesco tramite telefono senza essere rilevati. Nonostante non ci siano prove concrete che le vulnerabilità siano state effettivamente sfruttate da potenze ostili, il governo olandese ha avviato un’indagine.
Metodo di Accesso
Eva Wolfangel di Zeit ha spiegato che WebEx utilizza un singolo numero di telefono per partecipare alle riunioni in ciascun paese. Un intruso avrebbe dovuto solo chiamare quel numero e inserire l’ID della riunione per unirsi. Partecipare alle riunioni tramite video è protetto da password per impostazione predefinita, ma non era sempre il caso per la partecipazione via telefono.
Risposta di Cisco
Cisco ha dichiarato il 4 giugno che i bug sono stati corretti il 28 maggio e che i clienti i cui incontri sono stati compromessi sono stati informati. La società ha affermato che i bug sono stati identificati in attività di ricerca sulla sicurezza mirata che consentivano l’accesso non autorizzato alle informazioni e ai metadati delle riunioni in alcune distribuzioni di Cisco WebEx.
Comunicazione ai Clienti
Cisco ha informato i clienti coinvolti delle osservazioni di tentativi riusciti di accesso alle informazioni e ai metadati delle riunioni basate sui log disponibili. Da quando i bug sono stati corretti, non sono stati osservati ulteriori tentativi di ottenere dati o metadati delle riunioni sfruttando i bug. L’indagine è in corso e Cisco continua a monitorare per attività non autorizzate, fornendo aggiornamenti se necessario tramite i canali regolari.
Reazione delle Autorità Tedesche
Il BSI (Ufficio Federale per la Sicurezza Informatica tedesco) ha dichiarato che Cisco ha informato le autorità interessate riguardo all’impatto della vulnerabilità e ha fornito l’elenco completo delle sessioni WebEx interessate. Il BSI ha anche sensibilizzato i propri gruppi target sull’uso sicuro dei servizi di videoconferenza e sta rivedendo le raccomandazioni esistenti per apportare eventuali modifiche necessarie.
