Die Sicherheitslücke, die es einem deutschen Journalisten ermöglichte, Links zu Videokonferenzen der Bundeswehr und der Sozialdemokratischen Partei Deutschlands (SPD) über ihre selbst gehosteten Cisco Webex-Instanzen zu entdecken, betraf in ähnlicher Weise auch den Webex-Cloud-Dienst.
Die Cloud-Sicherheitslücke Cisco Webex Meetings
Die Sicherheitslücke betreffe alle Organisationen, „die über eine Domäne wie organisationsname.webex.com verfügen “, heißt es bei Netzbegrünung, einem Verein, der die digitale Infrastruktur von Bündnis 90/Die Grünen organisiert.
Der von Netzbegrünung entdeckte und von Eva Wolfangel von ZEIT Online verifizierte Fehler ermöglichte die Entdeckung von Informationen über vergangene und zukünftige Webex-Meetings, an denen folgende Personen teilnahmen:
- Das Bundesamt für Sicherheit in der Informationstechnik (BSI), der Bundestag, verschiedene Ministerien, das Bundeskanzleramt sowie weitere Bundes- und Landesbehörden
- Behörden und Unternehmen – große und kleine – in Deutschland, den Niederlanden, Italien, Österreich, Frankreich, der Schweiz, Irland und Dänemark
Anders als Bundeswehr und SPD nutzten diese Organisationen Webex in der Cloud, sagte Wolfangel .
„Ursache der Sicherheitslücke ist wiederum, dass Cisco für die Vergabe der Meeting-Nummern keine Zufallszahlen verwendet“, erklärt die Netzbegrünung .
„Diesmal betrifft es eine andere Zahl als das On-Premise-System der Bundeswehr, die Zählweise ist aber ähnlich. In Kombination mit einer falsch konfigurierten Ansicht für mobile Endgeräte war es dann möglich, mit einem einfachen Webbrowser eine riesige Menge an Metadaten abzurufen – und das über Monate, vermutlich Jahre.“
Tricks, um Zugang zu Webex-Meetings zu erhalten
Informationen über Besprechungen könnten für Spione und Kriminelle von Interesse sein, bemerkt Wolfangel. Für sie könnte es von Vorteil sein zu wissen, wer welche Dinge mit wem bespricht, wann und wie lange die Diskussion dauerte.
Es ist jedoch nicht bekannt, ob die Sicherheitslücke bereits zuvor von böswilligen Einzelpersonen oder Gruppen ausgenutzt wurde.
Wie Wolfangel feststellte, war es bei einigen der entdeckten Meetings auch möglich, sich einzuwählen, obwohl für die (Video-)Teilnahme per Browser oder Webex-App Passwörter erforderlich waren. Wer sich (Audio-)per Telefon dazuschaltet und seine „Teilnehmernummer“ nicht kennt, kann offenbar einfach die Raute-Taste drücken und wird eingelassen.
Mit diesem Trick gelang es ihr, an einer Videokonferenz des Bundesamtes für Migration und Flüchtlinge (BAMF) und der Barmer Krankenkasse teilzunehmen, wobei die anderen Teilnehmer bemerkten, dass sich eine unbekannte Nummer in das Gespräch einschaltete.
Als sie zuvor an einem Webex-Meeting der SPD teilnahm, bei dem alle anderen Teilnehmer per Telefon zugeschaltet waren, sei dies ihrer Aussage nach „teilweise unbemerkt“ geblieben.
Cisco implementiert Fixes
„Anfang Mai 2024 hat Cisco Fehler in Cisco Webex Meetings festgestellt, von denen wir nun glauben, dass sie bei gezielten Sicherheitsforschungsaktivitäten ausgenutzt wurden und unbefugten Zugriff auf Meeting-Informationen und Metadaten in Cisco Webex-Bereitstellungen für bestimmte Kunden ermöglichten, die in unserem Frankfurter Rechenzentrum gehostet werden. Diese Fehler wurden behoben und ein Fix wurde seit dem 28. Mai 2024 weltweit vollständig implementiert“, bestätigte Cisco am Dienstag.
„Cisco hat jene Kunden benachrichtigt, bei denen anhand der verfügbaren Protokolle nachweisbare Versuche stattfanden, auf Meeting-Informationen und Metadaten zuzugreifen. Seit die Bugs gepatcht wurden, hat Cisco keine weiteren Versuche beobachtet, unter Ausnutzung der Bugs an Meeting-Daten oder Metadaten zu gelangen.“
Netzbegrünungs-Vorstand Max Pfeuffer bestätigte gegenüber Help Net Security, dass die bisherige Methode zum Auffinden der Treffen nicht mehr funktioniere grafana.
UPDATE (7. Juni 2024, 07:25 Uhr ET):
„Die deutschen ethischen Hacker konnten von mehr als zehntausend niederländischen Regierungstreffen Informationen sammeln, mehr als in den anderen Ländern, in denen sie die staatliche Nutzung von Webex untersuchten“, stellte die niederländische Zeitung „de Volkskrant“ am Donnerstag fest.
Die niederländische Regierung untersucht nun, inwieweit durch diese Sicherheitslücke Informationen zu ihren eigenen Videoanrufen abgegriffen werden konnten.