Webex by Cisco: Schwachstelle ermöglicht Abfluss von Metadaten
BSI-Cyber-Sicherheitswarnung: Webex by Cisco ist ein Kommunikations- und Kolaborationstool, welches vor allem für Videokonferenzen genutzt wird. Journalisten und Sicherheitsforschende haben darin eine Sicherheitslücke aufgedeckt Cisco darüber informiert und den Sachverhalt veröffentlicht. Daraufhin hat Cisco am 04.06.2024 ein Advisory veröffentlicht und den Sachverhalt grundsätzlich bestätigt.
Die Sicherheitslücke erlaubte es auf Metadaten des Meetings zuzugreifen und durch Enummeration weitere Meetings zu identifizieren. In Kombination mit unsicher konfigurierten, insbesondere nicht mit einem Passwort geschützten Meetings, konnten sich die Sicherheitsforschenden unautorisiert in einige dieser Meetings einwählen.
Nach derzeitigem Kenntnisstand waren die folgenden Metadaten zugänglich:
- Meeting-UUID (universally Unique IDentifier)
- Nummer des Meetings
- Titel des Meetings
- Name des Hosts
- Datum und Uhrzeit des geplanten Meeting
- Geplante Dauer des Meetings∙
Dagegen waren nach derzeitigem Kenntnisstand die folgenden Metadaten NICHT zugänglich:
- Passwort des Meetings
- Informationen über Teilnehmer des Meetings
Das BSI hat den Abfluss der Metadaten als Datenschutzverletzung an den BfDI gemeldet. Auch im europäischen Ausland, wie z.B. die Niederlande, waren Organisationen von der Schwachstelle betroffen. Die Sicherheitslücke ist laut Cisco seit dem 28.05.2024 behoben. Cisco hat gemäß eigener Aussage die Kunden über die erkannten Ausnutzungen informiert. Nach Erkenntnissen des BSI sind allerdings nicht alle potentiell betroffenen Kunden informiert worden, und die Informationen waren auch nicht vollständig. Nach derzeitigem Kenntnisstand sind zukünftige, neu aufgesetzte Meetings nicht mehr gefährdet. Es ist jedoch möglich, dass vor dem Beheben durch Cisco angelegte – noch ausstehende – Meetings weiterhin aufgeklärt werden können.
Webex by Cisco: Bewertung
Kommunikationstools sind für Angreifer ausgesprochen interessante Ziele, da sie neben den besprochenen Fakten, tiefe Einblicke in die Organisation, Bewertungen, Hintergründe und Zusammenhänge gewähren.
Derzeit liegen dem BSI keine Erkenntnisse vor, dass die Sicherheitslücke außer von den Sicherheitsforschern auch noch von weiteren potentiellen Angreifenden ausgenutzt wurde. Die Sicherheitslücke hat, wenn man sich an die Empfehlungen des BSI gehalten hat, “nur” zum Abfluss von Metadaten geführt. Weil aber einige Meetings ohne ein Passwort angesetzt wurden, konnten die Sicherheitsforschenden sich hier auch einwählen.
Maßnahmen
Cisco hat zentrale Maßnahmen ergriffen. Endnutzer müssen keine Sicherheitsupdates installieren. Das BSI empfiehlt jedoch grundsätzlich angemessen absichernde Videokonferenzdienste zu nutzen.
Um sicherzustellen, dass bereits angelegter Meetings nicht gefährdet sind, empfiehlt das BSI alle bereits angelegten, aber noch ausstehenden Termine zu löschen und neu anzulegen. Dazu zählen insbesondere bereits vor dem 28.05.2024 angelegte Regeltermine. In Einzelfällen kann diese Maßnahme von Cisco für die gesamte Organisation realisiert werden. Dazu sollte der Lieferant kontaktiert werden.
