Cisco vá các lỗi trên Webex sau khi các cuộc họp của Chính phủ Đức bị lộ
Ấn phẩm Zeit Online của Đức đã đưa tin vào ngày 4/5 rằng, các lỗ hổng trong việc triển khai phần mềm hội nghị truyền hình Cisco Webex của chính phủ Đức có thể đã bị khai thác để lấy liên kết đến các cuộc họp nội bộ và phòng họp của các quan chức cấp cao.
Chính phủ Đức đã sử dụng phiên bản Webex để lưu trữ dữ liệu trên các máy chủ địa phương và đảm bảo rằng dữ liệu sẽ không rời khỏi đất nước này.
Tuy nhiên, các nhà nghiên cứu đã phát hiện ra lỗ hổng có vẻ là tham chiếu đối tượng trực tiếp (IDOR) không an toàn, có thể bị khai thác để lấy liên kết tới hàng nghìn cuộc họp Webex nội bộ chỉ bằng cách thay đổi số trong liên kết cuộc họp.
Điều này làm lộ ra chủ đề, thời gian và thành phần tham gia cuộc họp, bao gồm cả những phiên họp nhạy cảm thảo luận về các hoạt động quân sự. Ngoài ra, phòng họp cá nhân của các quan chức cấp cao không được bảo vệ bằng mật khẩu, cho phép đối tượng xấu dễ dàng truy cập và có khả năng lấy được thông tin mật.
Đầu tháng 3, Nga đã công khai đoạn ghi âm cuộc họp quân sự của Đức được tổ chức trên phần mềm Webex, nhưng không rõ liệu các sự cố có liên quan hay không.
Để đối phó với việc phát hiện ra các lỗ hổng, chính phủ Đức đã chặn quyền truy cập vào các phòng họp bị lộ và đưa phiên bản Webex của họ vào trạng thái ngoại tuyến.
Cisco đã giải quyết vụ việc trong một tư vấn bảo mật được công bố vào ngày 4/6 và tiếp tục đề phòng các hoạt động trái phép.
Nguyễn Loan