게시일: 2020. 11. 21 오전 7:21:25
2020. 11. 19. 09:04
Cisco Webex bugs allow attackers to join meetings as ghost users
Cisco가 WebEx 화상 회의 프로그램의 공격자가 WebEx 회의에 다른 참가자들에게 보이지 않는 상태인 ‘고스트 사용자’로 참석하도록 허용하는 취약점 3개를 수정할 예정이라 밝혔습니다.
이 취약점은 올해 초 IBM의 보안 연구원들이 코로나19 팬데믹 기간에 내부에서 사용하던 원격 작업 프로그램을 검토하던 중 발견했습니다.
연구원들은 공격자가 이 취약점을 3개를 조합할 경우 아래 공격이 가능하다고 밝혔습니다.
1. 참가자 리스트에는 보이지 않으나 음성, 영상, 챗, 화면 공유 모두 접근 가능한 고스트 사용자로 WebEx 회의에 참석
2. WebEx 회의에서 추방당한 경우에도 음성을 들을 수 있는 고스트 오디오 사용자로 남음
3. 성명, 이메일 주소, IP 주소를 포함한 회의 참가자에 대한 정보 수집
(위 정보는 공격자가 전화를 수락하기 전 회의실 로비에서도 얻을 수 있음)
IBM 연구원들은 이 취약점이 새로운 WebEx 회의가 설정될 때 발생하는 “핸드셰이크(handshake)” 프로세스에 존재한다고 밝혔습니다.
회의 URL을 손에 넣은 공격자는 WebEx 서버에 연결하고, 악성 패킷을 보내고, 서버를 조작해 회의 및 참가자의 상세정보에 접근할 수 있는 권한을 얻을 수 있습니다.
IBM은 보고서를 통해 아래와 같이 밝혔습니다.
“분석 결과, 핸드셰이크 과정 중에 참가자의 패널에서 참석자가 보이지 않도록 조작될 수 있는 클라이언트 정보의 특정 값을 식별할 수 있었습니다.”
“WebEx Meetings의 macOS, 윈도우, iOS, WebEx Room Kit 어플라이언스에서도 고스트 참가자 문제를 재현할 수 있었습니다.”
공격자는 예약된 회의 URL 및 WebEx 개인 방의 URL을 알고 있어야만 이 취약점을 악용할 수 있습니다.
하지만 IBM 연구원들은 “개인 방은 방 주인의 이름과 조직 이름 등 예측 가능한 조합을 사용하기 때문에 악용하기가 더 쉬울 수 있다”고 밝혔습니다.
Cisco는 CVE-2020-3441, CVE-2020-3471, CVE-2020-3419를 수정하는 패치를 공개할 예정입니다.
IBM 연구원들의 작업을 요악한 영상은 여기에서 확인하실 수 있습니다.
출처:
https://www.zdnet.com/article/cisco-webex-bugs-allow-attackers-to-join-meetings-as-ghost-users/
https://securityintelligence.com/posts/ibm-works-with-cisco-exorcise-ghosts-webex-meetings/
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
요약
간단하게 요약하자면 이 취약점은 공격자가 회의링크를 알 수 있을 때 참가자 리스트에 보이지 않는 사용자로 접속이 가능해진다.
우리학교에 덧대보자면 다른 시간에 진행되는 시험에 몰래 접속해서 해당 방에서 미리 문제를 볼 수 있는 상황이 발생할 수도 있는 상황이 발생하게 된다.
해당 취약점은 참가자를 들어가는 과정에서 사용자가 식별할 수 있는 값을 다른 값으로 변경하여 보내게 되면서 발생하는데, 결국 이런 서비스를 개발할 때는 사용자가 서버와 통신과정 중 주고받는 변수들을 식별할 수 없게끔 하는 것과 좀더 엄격하게 검사하는 것이 필요해보인다.
그리고 고스트는 여러 취약점이 합쳐진 결과물이지만, 위에 각각의 취약점을 나눠서 봤을 때는 참가자에 대한 개인 정보 유출도 가능한 취약점이 있기에 조심할 필요가 있다.
최근 온라인 환경으로 바뀌면서 이러한 원격 회의 시스템의 취약점이 많이 나오는 추세이다. Microsoft Teams에서도 RCE가 발생한게 최근인데, Cisco의 WebEx도 이러한 취약점이 나오는 것을 보면 다른 원격 회의 서비스 프로그램들도 취약하지 않은지 볼 필요가 있을 것 같다.