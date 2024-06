De Duitse overheid heeft in navolging van het Nederlandse Nationaal Cyber Security Centrum (NCSC) een waarschuwing gegeven voor een kwetsbaarheid in Cisco Webex waardoor metadata van vergaderingen kon lekken. Daarnaast is uitgelegd hoe onderzoekers toegang tot verschillende Webex-vergaderingen konden krijgen. Die waren namelijk niet beveiligd met een wachtwoord.

Vorige week werd bekend dat metadata van duizenden vergaderingen van zowel overheden als bedrijven eenvoudig voor onbevoegden toegankelijk waren. Het ging onder andere om meeting-UUID (universally Unique IDentifier), nummer van de meeting, onderwerp van de meeting, naam van de host, datum en tijd van geplande meetings en geplande duur.

Wanneer iemand een videoconferentie via Webex aanmaakt wordt er een link gegenereerd. Het Duitse Zeit Online meldde dat deze meeting-url's opeenvolgend waren, waardoor het eenvoudig was om metadata van allerlei geplande of al gehouden vergaderingen te bekijken. Een journalist van de Duitse krant wist ook tot verschillende vergaderingen toegang te krijgen. Het ging om vergaderingen die niet met een wachtwoord waren beveiligd, aldus het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken.

Volgens de Duitse overheidsdienst zijn communicatietools zeer interessante doelwitten voor aanvallers. Naast de mogelijkheid om metadata te achterhalen en zelfs vergaderingen bij te wonen, bieden ze ook inzicht in organisaties, assessments, achtergronden en connecties. Het BSI zegt geen aanwijzingen te hebben dat naast de beveiligingsonderzoekers anderen misbruik van de kwetsbaarheid hebben gemaakt.

Cisco heeft het probleem vorige maand verholpen. Net als het NCSC adviseert het BSI om al aangemaakte vergaderingen te verwijderen en opnieuw aan te maken. Waar het NCSC het advies geeft om dit te doen voor vergaderingen die vóór 4 juni zijn aangemaakt, hanteert de Duitse overheidsdienst 28 mei als datum.