Cisco lost nog een kritieke kwetsbaarheid op in WebEx-browserextensie

Cisco heeft op zaterdag nog een kwetsbaarheid opgelost in zijn WebEx-browserextensie, ditmaal in drie browserversies in plaats van een. Ook deze maakte het mogelijk voor een aanvaller om willekeurige code uit te voeren.

Het is de tweede keer in een week dat een kritieke kwetsbaarheid uit de extensie gehaald moet worden. Door de kwetsbaarheid kan een aanvaller willekeurige code uitvoeren met dezelfde rechten als de browser waarin de plug-in draait. Daarvoor moet de kwaadwillende het doelwit overtuigen om naar een webpagina te navigeren die aangepast is om de kwetsbaarheid in de api van de extensie uit te buiten. Meer details maakt Cisco niet bekend.

Waar de vorige kwetsbaarheid alleen voor de Chrome-browser gold, treft deze zowel Chrome als Firefox en Internet Explorer. Er zijn geen workarounds voor de kwetsbaarheid, dus de update moet zo snel mogelijk geïnstalleerd worden. De versie waarin de kwetsbaarheid is weggewerkt is direct voor alle browsers te downloaden.

Dat er een tweede beveiligingsupdate zo kort volgt op de eerste, is niet geheel verrassend. Tavis Ormandy, de beveiligingsonderzoeker van Google die de problemen aan het licht bracht, stelde bij de publicatie van het vorige euvel al dat Cisco weliswaar snel reageerde op de melding van het probleem, maar hij was er niet volledig van overtuigd dat de kwetsbaarheid ook compleet weggewerkt was.

De browserextensie van Cisco is gericht op zakelijke gebruikers en biedt verschillende mogelijkheden waaronder videogesprekken. WebEx heeft ongeveer twintig miljoen gebruikers.

Door Mark Hendrikman

Redacteur

29-01-2017 • 13:54

31

Reacties (31)

31
30
16
2
0
10
Wijzig sortering
Waarom is het enige dat ik van Cisco zie en hoor altijd dat ze zo lek als een zeef zijn? Is dat omdat het enige interessante aan ze is dat ze lekken hebben, of...? Ik kan me herinneren dat er dat hele fiasco was met de NSA en backdoors was, maar dat kan het nauwelijks zijn lijkt me. Zeker na zo'n tijd geleden.

Iemand verduidelijking?
Cisco heeft in een aantal markten zowat hetzelfde probleem als adobe met flash: hun producten worden heel veel gebruikt en zijn dus ook een interessant doelwit voor aanvallers. Dat is ook meteen de reden dat de NSA zoveel interesse had/heeft in cisco: een groot deel van het internet draait op cisco hardware.

De webex software wordt zakelijk relatief veel gebruikt en is dus ook een leuk doelwit. Dat er zoveel kritieke lekken inzitten is uiteraard wel wat slordig, een bedrijf van de omvang van cisco zou gewoon veel meer moeten investeren in de veiligheid van hun producten.

De reden dat je minder van hen hoort is imo vooral dat ze zich op de zakelijke markt richten. Van cisco ga je niet zo snel billboards langs de snelweg zien om een nieuw product aan te kondigen. In de zakelijke markt komt cisco gewoon zelf langs bij hun grotere klanten om hun nieuwe producten voor te stellen en te verkopen.
Ik denk dat een andere reden ook zwaar weegt: Cisco koopt veel zaken (zo ook Webex). Dit is gemaakt door een kleinere partij die (vermoedelijk) haast heeft gehad (time to market is time to money enzo). Dat betekent vaak ook grotere risico's nemen en de code kwaliteit is dan niet nummer 1. Bij een overname wordt er wel naar de boeken gekeken, de risico's van de software die overgenomen wordt wordt vaak onderbelicht. Na de overname gaat een grote groep ontwikkelaars aan de wandel het het hele systeem komt in onderhoudsmodus waar het mantra is: "don't touch it, we don't know what it does".
Web-Ex is idd overgenomen door Cisco.

Dit was echter in maart 2007, dus bijna 10 jaar geleden.
https://en.wikipedia.org/wiki/WebEx

Als na 10 jaar jouw opmerking nog steeds waar is zou het wel erg droevig gesteld zijn.
Bovendien zijn de originele programmeurs mee overgenomen. (In eerste instantie; wat ze daarna zijn gaan doen, who knows)
Helaas in de praktijk mogen zien: software is te complex en de risicos te groot om eens echt lekker aan de gang te gaan.
Ik ben het helemaal met je eens, maar er lijken een aantal dingen die dat in twijfel trekken (of Cisco banden met de NSA zou hebben).

Je hoort inderdaad opvallend vaak dat Cisco zo lek is, en dat de NSA daar dan misbruik van maakt. Maar wat ik uit een aantal artikelen kan halen, is dat Cisco dat niet met opzet doet, want ze waarschuwen de gebruikers/consumenten ook netjes: nieuws: Cisco en Fortinet brengen waarschuwingen uit voor NSA-exploits

Het lijkt er dus op dat de NSA de lekken wel gebruikt (mits het praktisch makkelijk te doen is, want om nou zoveel moeite moeten te gaan doen om 1 gebruiker in de gaten te kunnen houden. De NSA doet dat niet, die doet dat vaak in 1 keer (dus sleepnetten)), maar dat Cisco ze wel wilt dichten, en dus geen banden met de NSA lijkt te hebben. Echter, de meningen lijken verdeeld, ook bij tweakers, want als je even een paar Tweakers-artikelen doorspit en control F't op "NSA", dan vind je vaak alleen maar "welles nietes" spelletjes.

Misschien leuk voor Sander van Voorst om hier eens een artikel/onderzoekje op te doen :p. Het is nu namelijk een beetje koffiedik kijken, want er is geen bewijs dat de NSA banden heeft met Cisco, of vice versa, terwijl Cisco toch zo'n beetje bekend staat als het doorgeefluik voor de NSA (vanwege de nieuwsartikelen).
Dus, voor mijn eigen duidelijkheid, door dat hele NSA gedoe heeft Cisco in feite een vies imago?
Ja, zo kun je het wel stellen. Alhoewel, zoals ik dus al zei: er is geen bewijs dat Cisco en de NSA banden hebben, maar er is ook geen bewijs dat ze dat niet hebben.

[Reactie gewijzigd door Anonymoussaurus op 25 juli 2024 05:28]

Wij zijn op dat onderbuikgevoel ook overgestapt op een ander merk voor onze firewall. Ook al zou Cisco helemaal clean zijn.
Cisco moet geen banden hebben met de NSA. De NSA is groot en machtig genoeg om enkele mensen binnen te krijgen in het bedrijf die backdoors kunnen achterlaten. En natuurlijk gaat Cisco lekken niet verbergen, het vertrouwen van hun klanten is zeer belangrijk.
Dat zegt natuurlijk vrij weinig. Regeringen zijn ook groot en machtig, want zij beslissen veel. Betekent dit dan ook dat ze zo veilig zijn?

En dan wat betreft het verbergen van lekken en het vertrouwen van hun klanten: toen Yahoo en Dropbox slachtoffer waren/werden van een hack, is dat ook pas heel laat gecommuniceerd naar hun klanten, dus dat schaadt ook het vertrouwen van de klant. Kijk hier maar eens:

nieuws: Yahoo wist in 2014 al van staatshackers die op netwerk inbraken

nieuws: Dropbox-hack van 2012 blijkt gegevens van 69 miljoen gebruikers te om...

[Reactie gewijzigd door Anonymoussaurus op 25 juli 2024 05:28]

Waarom zou NSA niet heel veel mensen in dienst hebben om zero days op te sporen in dit soort apparaten van Cisco. Wel of niet toestemming van Cisco, ze gaan sowieso opzoek naar zero days. Zulke hardware is als het ware de toegangspoort tot van alles. Als je daar door heen bent....
Ooit van een dubbele agenda gehoord? Geen van die miljardenbedrijven zijn te vertrouwen tegenwoordig. Ze weten zelfs intern niet alles van elkaar...
Is dat wellicht ook niet het lot dat bij (1 van) de grootste te zijn doet horen? Dan sta je altijd wat meer in de belangstelling.
dat heeft vooral met perceptie, sensatie en ook sensibilisering te maken. Hier krijg je mooi het bericht: er was een probleem en het is opgelost, voor elke kritieke bug dat er zo opgelost wordt, blijven er een onbekend aantal verborgen, waarvan niemand weet of ze actief misbruikt worden. Lees de berichten eerder in die context en je zal bedrijven zoals cisco al in een veel minder negatieve context bekijken.
Het is niet dat Ik er negatief op kijk, het is dat ik dit er alleen maar over hoor. Maar mij is verteld dat, inderdaad, ze op de zakelijke markt heel actief zijn en hun spullen gewoon prima zijn. Hetgeen waar ze voor het publiek bekend staan is dus dat NSA gedoe en dat er niks anders over verteld wordt dan lekken die wel of niet opgelost zijn. In ieder geval niet over een nieuwe uitvinding, of ontwikkeling of strategie. Maar dat komt dus omdat ze zich bezig houden met de zakelijke markt, en "ons" dus een soort van in het duister laten.
Ik vermoed zelf ook dat Cisco meewerkte met de NSA. Ook al werden de verzendingen onderschept en gemodificeerd op een andere locatie, de NSA moest natuurlijk wel weten welk pakket ze wanneer moesten onderscheppen. Dat kan eigenlijk alleen maar met medewerking van Cisco. Ook moet de NSA broncode en technische informatie over de routers hebben om de modificaties te kunnen uitvoeren. En als laatste kon Cisco dit makkelijk verhinderen door het digitaal ondertekenen van firmware, wat modificeren onmogelijk maakt. Dat hebben ze nooit gedaan. Dus voor mij staat vast dat ze meewerkten.

In China is Cisco bijna onverkoopbaar geworden. Ook in de rest van de wereld dalen de verkopen. Ik hoop dat Europa ook stopt met het aanschaffen van Cisco.
Dus als nou blijkt dat Cisco het slachtoffer was van (corporate) espionage had je liever ook gewild dat ze afsterven dan dat je de (corporate) espionage de kop in drukt? Want de enige manier waarop Cisco het niet door zou kunnen hebben gehad is als er een boel mensen geïnfiltreerd waren/zijn en zo informatie door lekken of zelf aan de slag gaan. Er is hier zoveel meer kleur aanwezig dan het simpele zwart-wit-vlak dat jij beschrijft.

Het lijkt mij beter als Cisco z'n spulletjes op orde krijgt. En ik denk dat ik wel weet waarom China geen Cisco apparatuur koopt. Klein beetje hetzelfde verhaal bij de meeste dingen die uit het westen komen en naar China gaan. Komt er simpel weg gewoon moeilijk in.
Als Cisco niet meewerkte maar geïnfiltreerd was dan nog vind ik het goed dat ze failliet gaan. Dan leert de Amerikaanse overheid eens af om apparatuur van Amerikaanse bedrijven als spionage gereedschap te gebruiken.
Ik snap niet dat er nog steeds browserplugins gebruikt worden. De genoemde functionaliteit kan toch prima als losse applicatie, dat hoeft toch niet in een browser te integreren? Heb je niet alleen geen last meer van hacks via websites maar hoef je ook niet 3 verschillende versies te onderhouden.
Met een application moet je bijvoorbeeld wel een minimum aan Windows vereisten bij houden met iedere versie weer zijn eigen lekken etc. Met browsers is dat een stuk makkelijker en dichter. Dus kan op zich wel begrijpen waarom ze voor de browser zijn gegaan.
Een binaire browserplugin is ook platform-afhankelijk en heeft dus ook minimale systeemeisen. Kijk bv naar Flash waar Mac en vooral Linux vaak een oude brakke trage versie kregen en vooral op Windows gefocust werd. Browserplugin of losse applicatie is voor systeemeisen hetzelfde, behalve dat er nog eisen aan de browser als extra bij komen.
Vraag: blokkeert of update't Chrome automatisch de oude onveilige extensie? Eventueel na een update van Chrome?

Daarnaast probeer ik te achterhalen welke gebruikers Webex hebben op hun systemen. Maar als je alleen de extensie installeert en niet de tool, dan staat het niet als geïnstalleerd programma in de lijst, dus moeilijk op te sporen met standaard beheertools. En een extensie mag je zonder beheerrechten installeren, dus dat kan iedereen hebben bij wijze van spreke.

Belangrijke vraag ook nog: zitten de bug(s) in de extensie zelf, of in de geïnstalleerde webex-software die wordt aangeroepen door de extensie?

[Reactie gewijzigd door woekele op 25 juli 2024 05:28]

Ik hoop dat iedereen die plug-ins gebruikt in zijn browser die standaard op "klikken om uit te voeren" heeft staan, opdat ze niet zonder interactie code kunnen uitvoeren. Dan ben je redelijk veilig.
Ik weet niet of je dan ook adblockers bedoelt, want dat is niet zo praktisch natuurlijk :p. Volgens mij kan dat überhaupt niet eens, want browser-extensies zoals adblockers zijn/moeten continu bezig (zijn). Met Flash maakt dat natuurlijk niet zo heel veel uit, want dat gebruik je toch niet altijd (voornamelijk omdat niet elke pagina per se Flash content moet bevatten, en omdat HTML 5 de positie van Flash Player inneemt). Daarom kan je plugins zoals Flash veel makkelijk click-to-play maken dan browser-extensies.

Zelf heb ik Flash Player als click-to-play staan.

Ik zie nu trouwens pas dat je "plug-ins" zei en geen "extensies" |:(.

[Reactie gewijzigd door Anonymoussaurus op 25 juli 2024 05:28]

Dit geldt inderdaad hoofdzakelijk voor plug-ins. Voor extensies is dit normaliter niet mogelijk; maar dat is ook niet zo erg, aangezien die geen externe code uitvoeren (code van buiten de browser).
Ik heb totaal geen last van slechte performance in m'n browser, en waarom zou ik het op m'n router doen? Ja, dat geldt dan voor het hele netwerk, maar dit update zichzelf automatisch, en anders moet ik zelf telkens regeltjes gaan toevoegen.
Beter beide tegelijk. Extensies kunnen veel nauwkeuriger werken, routerblacklists blokkeren alleen een heel domein.
Dat er ook nog een fix kwam voor IE en Firefox stond al in de de mededeling van afgelopen week.
Eigenlijk gewoon niet te geloven...

Op dit item kan niet meer gereageerd worden.