行业新闻与博客

根据新的研究，未分配密码的网络会议用户可能正在与比他们想象的更多的人进行在线会议。

该  Cequence  CQ 总理威胁研究小组今天宣布，其发现在一个脆弱的 2019 七月  的 Cisco WebEx 和放大潜在暴露数以百万计的在线会议，以窥探视频会议平台。  

通过使用漫游程序（枚举）并发现有效的数字会议 ID 的漫游器发起针对 Web 会议 API 的枚举攻击，威胁参与者可以利用此漏洞查看和收听未经密码保护的活动会议。 

Cequence Security 首席技术官兼联合创始人 Shreyans Mehta 说：“在针对 API 而不是 Web 表单填充时，不良参与者能够利用 API 带来的与开发社区相同的易用性和灵活性。” 

“在 Prying-Eye 漏洞的情况下，用户应采用分担责任模型，并利用网络会议供应商的安全功能来保护自己的会议，并采取额外的步骤确认与会者的身份。”

遵循漏洞披露的最佳实践，CQ Prime 团队通知了受影响的供应商，并给了他们时间来验证和响应调查结果。

Zoom Video Communications，Inc. 的 CISO 理查德·法利（Richard Farley）表示：“ Zoom 改进了我们的服务器保护功能，使恶意行为者或恶意僵尸程序更难以诱骗访问 Zoom 会议。此外，数据中心，我们为会议主持人提供了广泛的保护控制，例如防止与会者在主持人面前参加会议以及非常受欢迎的候诊室功能。”

思科产品安全事件响应小组（PSIRT）向其 Webex 客户发布了信息安全公告，但表示“不知道有任何恶意利用此潜在攻击情形”。

PSIRT 说：“ Cisco Webex 为主持人提供了保护会议的控件，例如禁止在主持人之前加入会议，锁定会议以及确保来宾未经身份验证就不会加入会议。”

在 Zoom 和 Cisco Webex 平台上，密码均作为会议的默认设置启用。但是，有意过着危险生活的用户可以选择使两个平台上的会议都免密码。 

非常感谢您对亚洲注册的支持与信任！

禁止转载