Webex-Lücke: Cisco nimmt Stellung

Anfang Mai 2024 hatte Cisco Auffälligkeiten im Bereich der Public-Cloud-Variante von WebEx Meetings am Rechenzentrums-Standort Frankfurt festgestellt. Cisco informierte die betroffenen Kunden unverzüglich. Gleichzeitig seien die bestehenden Disclosure-Prozesse zum Schließen von Sicherheitslücken eingeleitet worden, erklärte der Anbieter.

Nähere Analysen ergaben gemäß Security Advisory ein Leck bezüglich Meeting-Informationen und Metadaten von Webex Meetings. In einem Interview mit der iX auf der Hausmesse Live stellt Cisco klar: Der Vorfall betraf alle Kunden der Public-Cloud-SaaS-Variante. Zur Anzahl der betroffenen Kunden macht das Unternehmen aber keine Angaben. Allerdings seien die Auffälligkeiten ausschließlich am Standort Frankfurt sichtbar gewesen.

Der Hersteller geht gemäß den Schilderungen im Security Advisory davon aus, dass die Lücken im Rahmen gezielter Sicherheitsforschungsaktivitäten ausgenutzt wurden. Die Lücke wurde dann gemäß dem Security Advisory am 28. Mai 2024 geschlossen. Seitdem hat Cisco nach eigenen Angaben keine Zugriffsversuche auf die betroffenen Daten mehr verzeichnet.

Das Verhalten werde jedoch insbesondere auf Basis der erkannten Muster weiterhin intensiv beobachtet und Cisco verspricht, bei Bedarf weitere Patches zu liefern. Kunden von Webex Meetings sollen hierzu die regulären Support-Kanäle für die weitere Kommunikation zu diesem Vorfall verfolgen. Gesprächsinhalte aus Meetings waren nach Aussagen von Cisco nicht betroffen.

Beitritt ohne Kennwort?

Auch zu den Schilderungen von möglichen Meeting-Beitritten ohne Kennwort äußerte sich Cisco im iX-Interview und differenzierte zunächst die Meeting-Arten: solche in sogenannten persönlichen Räumen der jeweiligen Nutzer und geplante Meetings. Bei ersteren müssen Personen zunächst in einer Art Lobby auf Einlass warten und der Eigentümer des persönlichen Raums muss den Zugang gewähren. Bei geplanten Meetings sei die Standardkonfiguration sogar so ausgelegt, dass sie keinen Beitritt ohne Kennwort erlaubt. Jedoch können Kunden – entgegen den Empfehlungen des Herstellers – diese Voreinstellung verändern und folglich die Sicherheit reduzieren. Die empfohlenen Sicherheitsmaßnahmen für Administratoren als auch für die Nutzer von Webex hat Cisco auch im zugehörigen Security Advisory referenziert.

Zu den grundlegenden Prozessen im Umgang mit Security-Aspekten teilte der Hersteller mit, dass jeder Entwickler zu diesen geschult werde und auch automatisierte Tests zur Erkennung von Sicherheitslücken bereits im Entwicklungs- und Designprozess stattfinden würden. Zudem fänden entsprechende Red-Teaming-Tests statt und Cisco betonte, dass man sehr gern und häufig mit Sicherheitsforschern kooperiere.

Ciscos wichtigste Botschaft ist also, dass die bestehende Sicherheitslücke zu den Metadaten geschlossen wurde. Aber: Die unsicheren Konfigurationsmöglichkeiten bleiben bestehen. Kunden sollten also dringend sowohl auf der administrativen Ebene, als auch auf Nutzerebene im Webex Control Hub ihre Einstellungen überprüfen und mit den Sicherheitsempfehlungen des Herstellers abgleichen.

(fo)