Odkrita in zamašena luknja v konferenčnem sistemu WebEx

Podjetje ISS, vodilni ponudnik varnostnih rešitev in storitev za zaščito pred različnimi informacijskimi nevarnostmi, posebej na področju ocenitve ranljivosti ter zaznavanja in preprečevanja vdorov, ki ga v Sloveniji uradno zastopa podjetje REAL security d.o.o., obvešča javnost – strokovnjaki njihovega raziskovalno-razvojnega oddelka xForce so odkrili resno pomanjkljivost v kontrolniku ActiveX, ki ga med drugim uporablja tudi popularni konferenčni sistem WebEx. V podjetju ISS so se nato lotili reševanja nastale situacije v tesnem sodelovanju z odgovornimi ljudmi iz WebEx, skupaj so pripravili rešitev, uporabniki ISS izdelkov pa so vnaprej zaščiteni pred to pomanjkljivostjo, četudi še niso nadgradili svojih WebEx izdelkov. Omenjeni ActiveX kontrolnik uporablja namestitveni program WebEx na uporabnikovi delovni postaji (odjemalec), in sicer takrat ko se uporabnik priključi ali organizira sestanek, pa je za to treba namestiti kako novo WebEx komponento. Kontrolnik pred nameščanjem novih komponent le-teh ni nikoli preverjal, recimo tega ali nova komponenta zares izvira iz podjetja WebEx in je varnostno preverjena. Na ta način bi bilo mogoče v omrežje podjetja, ki uporablja WebEx sistem, infiltrirati zlonamerni program, ki bi omrežje izpostavil napadalcu, program bi izviral iz namensko pripravljene ‘ponarejene’ spletne strani.

WebEx je že obnovil dele svojih spletnih strani namenjene strankam, uporabniški ActiveX kontrolniki pa se bodo samodejno nadgradili na različico z odpravljeno pomanjkljivostjo takoj ko se bodo uporabniki prijavili v storitev. ISS je v svojem izdelku Proventia poskrbel za zaščito strank brez nadgradenj. Po podatkih WebEx te pomanjkljivosti pred rešitvijo ni uspel izkoristiti noben napadalec.