Nella nuova era dello smart working post-coronavirus, le applicazioni di videoconferenza e di collaborazione a distanza sono importanti per poter lavorare bene, piacevolmente e in sicurezza. Ma rappresentano anche un’opportunità per hacker e cyberspioni, come già emerso la scorsa primavera con i ripetuti attacchi a Zoom. Prodotti dalla vocazione business come Cisco Webex non possono rischiare simili incidenti, dunque la società californiana è corsa ai ripari per risolvere alcune vulnerabilità di sicurezza e avvisare gli utenti sulla necessità di installare le patch.
Nel suo ultimo bollettino di sicurezza Cisco avverte sulla presenza di vulnerablità critiche in alcune versioni di Webex Teams per Windows, in Identity Services Engine e nelle videocamere di sorveglianza 8000 Series IP Cameras. Il problema più grave riguarda proprio queste ultime: un bug che può consentire di eseguire codice da remoto o di lanciare un attacco denial-of-service (DoS). Il grado di severità di questa falla è valutato 8,8 su una scala che va da zero a dieci, al pari di una simile vulnerabilità delle videocamere IP serie 8000 emersa durante l’estate.
ll problema risiede nei mancati controlli che la videocamera esegue quando riceve pacchetti di dati tramite il Cisco Discovery Protocol: un utente malintenzionato potrebbe, senza autenticarsi, eseguire linee di codice di suo piacimento o far riavviare la videocamera. Poiché il Cisco Discovery Protocol è un protocollo Layer 2 protocol, per poter sfruttare la falla l’attaccante deve trovarsi nel medesimo dominio broadcast del dispositivo vulnerabile. Il bug è stato eliminato da Cisco nelle versioni 1.0.9-5 e successive del firmware, dunque chi avesse in uso release più datate è invitato a installare l’aggiornamento dal Software Center del sito del produttore.
Per quanto riguarda l’edizione per sistemi Windows di Webex Teams, la vulnerabilità può consentire a un attaccante di caricare file DLL o librerie software malevole che andranno in esecuzione nel momento in cui l’applicazione viene lanciata. Per poter sfruttare questo bug, valutato 7,8 nella scala di severità che va da zero a dieci, l’attaccante deve avere credenziali valide sul sistema Windows bersaglio. La vulnerabilità compromette le versioni di Webex Teams per Windows comprese dalla numero 3.0.13464.0 alla numero 3.0.16040.0, che dunque sono invitate a eseguire l’aggiornamento reso disponibile da Cisco.
Il problema riguardante l’Identity Services Engine ha una severità di 7,7 su dieci: potrebbe consentire a chi attacca di modificare la configurazione di un prodotto inviando richiesta Http confezionate a tal scopo, per poi spostare il dispositivo all’interno di una rete oppure bloccarne l’accesso a una rete. In questo caso l’attaccante ha bisogno di essere autenticato con credenziali di amministratore (read-only) per poter sfruttare il bug. La vulnerabilità affligge soltanto le versioni 2.3, 2.4. 2.5, 2.6 e 2,7 di Cisco Identity Services Engine.