Уязвимость в WebEx и Zoom позволяет подслушивать чужие разговоры

WebEx и Zoom подвержены атаке перечисления (user enumeration) Prying-Eye.

Злоумышленники могут легко получить доступ к сеансам связи в Cisco WebEx или Zoom из-за уязвимости в API. Специалисты команды CQ Prime компании Cequence Security обнаружили , что API ПО для конференц-связи WebEx, Zoom и, возможно, других сервисов, уязвим к атаке Prying-Eye («Любопытный глаз»).

Prying-Eye представляет собой атаку перечисления или user enumeration. По словам исследователей, WebEx и Zoom позволяют с помощью бота автоматически перебирать все потенциально действительные идентификаторы сеансов через вызовы API. Как только действительный идентификатор будет обнаружен, злоумышленник может получить доступ к сеансу и подслушивать разговоры (в случае, если пользователь не установил пароль).

Уязвимость представляет еще большую опасность, если для упрощения процесса управления сеансами пользователь установил персональный идентификатор. Подобрав этот идентификатор, злоумышленник сможет подслушивать разговоры в течение длительного времени

Исследователи уведомили Cisco и Zoom об уязвимости в июле нынешнего года. Обе компании опубликовали соответствующие предупреждения для своих пользователей, однако не признали проблему реальной угрозой. Cisco уточнила , что сеансы в WebEx по умолчанию защищены паролем, однако пользователи могут отключить его для большего удобства. Узнав об уязвимости, разработчики Zoom внесли в свою платформу некоторые изменения, в частности сделали пароль настройкой по умолчанию.

Подробнее: https://www.securitylab.ru/news/501533.php