Nach Veröffentlichung von Schwachstellen in den auf eigenen Servern gehosteten Versionen von Webex, wie es beispielsweise die Bundeswehr betroffen hat, hat die Netzbegrünung nun eine weitere große Schwachstelle entdeckt, zu der erneut Eva Wolfangel recherchiert und im ZEIT-Artikel „Mithören, wenn Beamte sprechen“ ihre Erkenntnisse und die Ergebnisse zusammenfasst hat.
Cisco Webex und die fortlaufenden Zufallszahlen
In diesem Fall betrifft es den global verfügbaren und intensiv genutzten Cloud-Dienst von Webex. Also alle Unternehmen und Behörden, die eine Domain wie organisationsname.webex.com haben. Die Ursache für die Schwachstelle ist erneut: Cisco verwendet keine zufälligen Zahlen für die Vergabe von Nummern, die für Meetings genutzt werden. Diesmal betrifft es eine andere Nummer als beim on-premise System der Bundeswehr, die Zählweise allerdings ist ähnlich. In Kombination mit einer falsch konfigurierten Ansicht für Mobilgeräte wurde es dann möglich, mit einem einfachen Webbrowser eine gigantische Menge Metadaten abzurufen – und das über Monate, vermutlich Jahre.
Die Schwachstelle wurde bei knapp 30 europäischen Behörden und Unternehmen verifiziert, und ein Gegenbeispiel ist nicht bekannt. Betroffen waren Meetings von Minister:innen genauso wie die von DAX-Unternehmen oder kleineren Organisationen. Eine Begrenzung auf das Data-Center Frankfurt von der Cisco spricht, gab es nicht. [UPDATE: Cisco hat seine erste Meldung (First Published: 2024 June 4 21:00 GMT) angepasst (Last Updated: 2024 June 5 20:30 GMT) und spricht nicht mehr von einer Begrenzung auf das Data-Center Frankfurt, sonder weißt nur noch daraufhin, dass der fix weltweit ausgerollt wurde]
Offen einsehbar waren dadurch Meeting-Titel, Gastgeber, Startzeit des Meetings, ob es sich um ein regelmäßiges Meeting handelt und – sofern angelegt – auch Profilbilder. Für die Teilnahme per Video waren zwar standardmäßig Passwörter eingerichtet, für die Telefoneinwahl sah dies wohl anders aus, wie auch dem Zeit-Artikel zu entnehmen ist.
Oberflächlich ist die Schwachstelle seit Ende Mai geschlossen, doch es ist nicht davon auszugehen, dass Cisco das Nummerierungssystem geändert hat. Auf die Anfrage an Cisco, ob die 3 verschiedenen Nummern, die im System verwendet werden an allen Stellen zufällig sind gab es keine Antwort.
_______________________________________________________
Ssaman Mardi, Geschäftsführer der netzbegrünung (e.V.) ergänzt:
„IT-Sicherheit muss endlich einen anderen Stellenwert in der Gesellschaft erhalten. Beteuerungen von Verkaufsabteilungen großer Anbieter ersetzen keine Anforderungserhebung und unabhängige Prüfung für den Behördeneinsatz.
Dass europaweit Regierungen, Verwaltungen, Institutionen, Parteien und Unternehmen betroffen sind, verdeutlicht nicht nur den sorglosen Umgang mit kritischen Informationssystemen, sondern auch die einseitige Abhängigkeit vom Standardprodukt eines Unternehmens, das seinen Programmiercode unter Verschluss hält.
Die Förderung und der Einsatz von bestehenden OpenSource-Programmierungen würde es Behörden ermöglichen, ein hohes IT-Sicherheitsniveu zu erreichen. Diese Chance wurde bei Videokonferenzen verpasst – das sollte beim nächsten Beschaffungsprozess nicht erneut passieren.“
_______________________________________________________
Presseanfragen bitte per E-Mail an backoffice@netzbegruenung.de oder telefonisch an +49 1512 5377074.
