¿Otra vez? Vulnerabilidad en Cisco WebEx y Zoom permite a hackers acceder a sus sesiones

Una firma de especialistas en análisis de vulnerabilidades acaba de descubrir una vulnerabilidad de seguridad en las plataformas de videoconferencia Zoom y Cisco Webex. Según los reportes, la explotación de esta falla permitiría a un actor de amenazas enumerar y acceder a las reuniones activas no protegidas en estas plataformas.

Existen al menos tres decenas de proveedores de servicios de videoconferencias y muchos de ellos emplean técnicas similares para la identificación de una sesión. Los expertos, de la firma CQ Prime, sólo analizaron las dos plataformas mencionadas anteriormente, pero consideran que debido al empleo de métodos similares otros servicios también podrían estar expuestos a la explotación de esta falla.

La vulnerabilidad, bautizada como Prying-Eye, es una muestra de ataque de enumeración que apunta específicamente contra las API de videoconferencia usando un bot que enumera y descubre claves de identificación (ID) numéricas válidas. En conjunción con malas prácticas, como inhabilitar funciones de seguridad o la falta de una contraseña, esta falla permite a los hackers acceder a sesiones de videoconferencia activas. Acorde a los expertos en análisis de vulnerabilidades, los actores de amenazas incluso pueden almacenar información útil para futuras intrusiones.

“Esto es una clara muestra de que, cuando faltan medidas de seguridad adecuadas, las API son un vector de ataque cada vez más explotado por los hackers”, mencionan los expertos. “En su afán de mantenerse protegidas, es común que las compañías opten por la tecnología incorrecta para asegurar sus API, como firewalls de aplicaciones web”, añaden los expertos.

Especialistas en análisis de vulnerabilidades señalan que cualquier aplicación web que use identificadores numéricos o alfanuméricos está expuesta a los ataques de enumeración. En este caso, el problema es que los usuarios finales de los servicios de videoconferencia suelen eliminar algunas medidas de seguridad o simplemente ignorarlas, lo que los expone aún más a esta clase de ataques.

Por otra parte, el uso de API como objetivo de ataque automatizado se ha vuelto algo común, principalmente por la disponibilidad de dispositivos móviles y la transición hacia aplicaciones modulares donde las API se usan como elementos centrales en la lógica de la aplicación.

“Centrando el ataque en una API en lugar de atacar un formulario web, los hackers podrían aprovechar los beneficios que las API brindan a los desarrolladores”, mencionan los especialistas. Sobre esta vulnerabilidad, los administradores podrían adoptar un modelo de responsabilidad compartida y aprovechar las características de seguridad de los proveedores de conferencias web para no solo proteger sus reuniones, sino también agregar una capa adicional para confirmar la identidad de los participantes de una sesión.

Acorde a especialistas en análisis de vulnerabilidades del Instituto Internacional de Seguridad Cibernética (IICS) ambas compañías ya han sido notificadas y han compartido algunos avisos con sus usuarios sobre cómo mitigar el riesgo de explotación de estas vulnerabilidades. El equipo de respuesta a incidentes de Cisco recomendó a sus usuarios habilitar las contraseñas de forma predeterminada para todas las sesiones de Cisco Webex. La compañía afirma que hasta el momento no existe evidencia de explotación de esta vulnerabilidad en escenarios reales.