সিসকো
জনপ্রিয় ওয়েবেক্স ভিডিও কনফারেন্সিং প্ল্যাটফর্মের মধ্যে একটি সুরক্ষার ত্রুটি অননুমোদিত বা অননুমোদিত ব্যবহারকারীদের ব্যক্তিগত অনলাইন সভায় যোগদানের অনুমতি দিয়েছে। গোপনীয়তা এবং সম্ভাব্যভাবে সফল গুপ্তচরবৃত্তির প্রচেষ্টার প্রবেশদ্বারের জন্য এই জাতীয় মারাত্মক হুমকি ওয়েবেক্স মূল সংস্থা সিসকো সিস্টেমস দ্বারা আটকানো হয়েছিল।
সিস্কো সিস্টেমস কর্তৃক সন্ধান করা এবং তত্পরিত আরেকটি লুফোলের ফলে যে কোনও অননুমোদিত অচেনা লোককে ভার্চুয়াল এবং প্রাইভেট মিটিংগুলিতে এমনকি পাসওয়ার্ড দ্বারা সুরক্ষিত এবং ছদ্মবেশে লুকিয়ে থাকতে দেওয়া হয়েছিল। সফলভাবে হ্যাক বা আক্রমণটি সরাতে প্রয়োজনীয় উপাদানগুলির মধ্যে ছিল মিটিং আইডি এবং একটি ওয়েবেক্স মোবাইল অ্যাপ্লিকেশন।
সিসকো সিস্টেমগুলি ওয়েবেেক্স ভিডিও কনফারেন্সিংয়ে 7.5 এর তীব্রতা নির্ধারণের সাথে সুরক্ষার দুর্বলতা আবিষ্কার করে:
ওয়েবেক্সের মধ্যে সুরক্ষা ত্রুটি কোনও প্রকারের প্রমাণীকরণের প্রয়োজন ছাড়াই দূরবর্তী আক্রমণকারী দ্বারা ব্যবহার করা যেতে পারে, নির্দেশিত সিসকো। একজন আক্রমণকারীকে কেবল মিটিং আইডি এবং একটি ওয়েবেক্স মোবাইল অ্যাপ্লিকেশন প্রয়োজন। মজার বিষয় হচ্ছে ওয়েবেক্সের জন্য আইওএস এবং অ্যান্ড্রয়েড উভয় মোবাইল অ্যাপ্লিকেশনই আক্রমণ চালাতে ব্যবহার করা যেতে পারে, সিসকোকে একটি শুক্রবারের পরামর্শ ,
“একটি অননুমোদিত অংশগ্রহণকারী কোনও পরিচিত মিটিং আইডি অ্যাক্সেস করে বা মোবাইল ডিভাইসের ওয়েব ব্রাউজার থেকে URL টি মিটিং করে এই দুর্বলতাটি কাজে লাগাতে পারে। তারপরে ব্রাউজারটি ডিভাইসের ওয়েবেক্স মোবাইল অ্যাপ্লিকেশন চালু করার জন্য অনুরোধ করবে। এর পরে, ইন্টারলিপার মোবাইল ওয়েবেেক্স অ্যাপের মাধ্যমে নির্দিষ্ট সভাটি অ্যাক্সেস করতে পারে, কোনও পাসওয়ার্ডের প্রয়োজন নেই।
আরটি হুমকি পোস্ট: এ # সিসকো ত্রুটি একটি দূরবর্তী, অমানুষিক আক্রমণকারীকে পাসওয়ার্ড-সুরক্ষিত ভিডিও কনফারেন্স বৈঠকে প্রবেশের অনুমতি দিতে পারে। # আইসিওয়াইএমআই https://t.co/gbNkUyOYN9
- ম্যডো মাউন্টেন টেক (@ মিডোমটটেক) জানুয়ারী 26, 2020
সিসকো ত্রুটির মূল কারণটি খুঁজে বের করেছে। “মোবাইল অ্যাপ্লিকেশনগুলির জন্য নির্দিষ্ট বৈঠকে যোগদানের অযৌক্তিকভাবে মিটিংয়ের তথ্য প্রকাশের কারণে দুর্বলতা। কোনও অননুমোদিত অংশগ্রহণকারী কোনও পরিচিত মিটিং আইডি অ্যাক্সেস করে বা মোবাইল ডিভাইসের ওয়েব ব্রাউজার থেকে URL মিলিয়ে এই দুর্বলতাটি কাজে লাগাতে পারে। '
শ্রবণশক্তিটি যে উদ্ভাসিত হতে পারে তার একমাত্র দিকটি ছিল ভার্চুয়াল সভার অংশগ্রহণকারীদের তালিকা। অননুমোদিত অংশগ্রহণকারীরা মোবাইলের অংশগ্রহণকারী হিসাবে সভার অংশগ্রহণকারী তালিকায় দৃশ্যমান হবে। অন্য কথায়, সমস্ত লোকের উপস্থিতি সনাক্ত করা যায়, তবে প্রশাসকের পক্ষে অনুমোদিত কর্মীদের বিরুদ্ধে তালিকাটি অননুমোদিত ব্যক্তিদের চিহ্নিত করতে হয়। যদি সনাক্ত না করা হয় তবে কোনও আক্রমণকারী খুব সহজেই গোপনীয় বা সমালোচনামূলক ব্যবসায়ের বৈঠকের বিশদ বিবরণে সহজেই শ্রবণ করতে পারে, রিপোর্ট করা হয়েছে থ্রেটপোস্ট ।
সিসকো পণ্য সুরক্ষা ঘটনার প্রতিক্রিয়া টিম ওয়েবেেক্সে ক্ষতিগ্রস্থতার প্যাচগুলি:
সিসকো সিস্টেমগুলি সম্প্রতি একটি সুরক্ষা ত্রুটি আবিষ্কার করেছে এবং এটিকে প্যাচ করে 10 এর মধ্যে 7.5 এর একটি সিভিএসএস স্কোর সহকারে, সুরক্ষা দুর্বলতা, আনুষ্ঠানিকভাবে ট্র্যাক করা CVE-2020-3142 , অন্য সিসকো টিএসি সমর্থন মামলার অভ্যন্তরীণ তদন্ত এবং রেজোলিউশনের সময় পাওয়া গেছে। সিসকো যোগ করেছে যে ত্রুটিটির প্রকাশ বা শোষণ সম্পর্কে কোনও নিশ্চিত প্রতিবেদন নেই, 'সিসকো পণ্য সুরক্ষা ঘটনা সংক্রান্ত প্রতিক্রিয়া দল (পিএসআইআরটি) এই পরামর্শদাতায় বর্ণিত দুর্বলতার কোনও প্রকাশ্য ঘোষণার বিষয়ে অবগত নয়।'
ওয়েবেক্স ত্রুটি যে কাউকে ব্যক্তিগত অনলাইন সভায় যোগ দিতে দেয় - কোনও পাসওয়ার্ডের প্রয়োজন হয় না https://t.co/F9rQ4UA2Mm pic.twitter.com/7uftEBe15T
- গ্রাহাম ক্লুলি (@gcluley) জানুয়ারী 26, 2020
দুর্বল সিসকো সিস্টেম ওয়েবেক্স ভিডিও কনফারেন্সিং প্ল্যাটফর্মগুলি হ'ল 39.11.5 (পূর্বের জন্য) এবং 40.1.3 (পরবর্তীকালের) সংস্করণগুলির জন্য সিসকো ওয়েবেক্স সভা স্যুট সাইট এবং সিসকো ওয়েবেক্স সভা অনলাইন সাইটগুলি ছিল। সিসকো 39.11.5 সংস্করণে দুর্বলতাটি স্থির করে এবং পরে, সিসকো ওয়েবেক্স সভা স্যুট সাইটগুলি এবং সিসকো ওয়েবেক্স সভা অনলাইন সাইটগুলির সংস্করণ 40.1.3 এবং পরে প্যাচ করা হয়।
ট্যাগ সিসকো