Cisco lost nog een kritieke kwetsbaarheid op in WebEx-browserextensie

Cisco heeft op zaterdag nog een kwetsbaarheid opgelost in zijn WebEx-browserextensie, ditmaal in drie browserversies in plaats van een. Ook deze maakte het mogelijk voor een aanvaller om willekeurige code uit te voeren.

Het is de tweede keer in een week dat een kritieke kwetsbaarheid uit de extensie gehaald moet worden. Door de kwetsbaarheid kan een aanvaller willekeurige code uitvoeren met dezelfde rechten als de browser waarin de plug-in draait. Daarvoor moet de kwaadwillende het doelwit overtuigen om naar een webpagina te navigeren die aangepast is om de kwetsbaarheid in de api van de extensie uit te buiten. Meer details maakt Cisco niet bekend.

Waar de vorige kwetsbaarheid alleen voor de Chrome-browser gold, treft deze zowel Chrome als Firefox en Internet Explorer. Er zijn geen workarounds voor de kwetsbaarheid, dus de update moet zo snel mogelijk geïnstalleerd worden. De versie waarin de kwetsbaarheid is weggewerkt is direct voor alle browsers te downloaden.

Dat er een tweede beveiligingsupdate zo kort volgt op de eerste, is niet geheel verrassend. Tavis Ormandy, de beveiligingsonderzoeker van Google die de problemen aan het licht bracht, stelde bij de publicatie van het vorige euvel al dat Cisco weliswaar snel reageerde op de melding van het probleem, maar hij was er niet volledig van overtuigd dat de kwetsbaarheid ook compleet weggewerkt was.

De browserextensie van Cisco is gericht op zakelijke gebruikers en biedt verschillende mogelijkheden waaronder videogesprekken. WebEx heeft ongeveer twintig miljoen gebruikers.

Door Mark Hendrikman

Redacteur

Feedback • 29-01-2017 13:54 31

29-01-2017 • 13:54

31

Lees meer

Cisco dicht kritiek lek in vpn-functie van ASA-software
Cisco dicht kritiek lek in vpn-functie van ASA-software Nieuws van 30 januari 2018
Cisco dicht opnieuw kritiek lek in populaire WebEx-extensie
Cisco dicht opnieuw kritiek lek in populaire WebEx-extensie Nieuws van 18 juli 2017
Onderzoekers treffen 10 kwetsbaarheden aan in 25 recente Linksys-routers
Onderzoekers treffen 10 kwetsbaarheden aan in 25 recente Linksys-routers Nieuws van 22 april 2017
Cisco waarschuwt voor standaardaccount in accesspoint
Cisco waarschuwt voor standaardaccount in accesspoint Nieuws van 6 april 2017
Cisco patcht ernstig lek in extensie dat het uitvoeren van code mogelijk maakt
Cisco patcht ernstig lek in extensie dat het uitvoeren van code mogelijk maakt Nieuws van 24 januari 2017
Lek in Cisco-software treft 17.000 Nederlandse routers
Lek in Cisco-software treft 17.000 Nederlandse routers Nieuws van 21 september 2016
Cisco brengt patches uit voor kwetsbaarheden gebruikt in NSA-exploits
Cisco brengt patches uit voor kwetsbaarheden gebruikt in NSA-exploits Nieuws van 25 augustus 2016
Cisco en Fortinet brengen waarschuwingen uit voor NSA-exploits
Cisco en Fortinet brengen waarschuwingen uit voor NSA-exploits Nieuws van 18 augustus 2016
Cisco ontslaat 5500 werknemers
Cisco ontslaat 5500 werknemers Nieuws van 18 augustus 2016
'Cisco wil bijna twintig procent van zijn medewerkers ontslaan'
'Cisco wil bijna twintig procent van zijn medewerkers ontslaan' Nieuws van 17 augustus 2016
Hacker voert Equation Group-exploit succesvol uit op Cisco-firewall
Hacker voert Equation Group-exploit succesvol uit op Cisco-firewall Nieuws van 16 augustus 2016
Meer producten en artikelen
Netwerk en systeembeheer Cisco

Reacties (31)

-Moderatie-faq
31
30
16
2
0
10
Wijzig sortering
sxbrentxs 29 januari 2017 14:50
Waarom is het enige dat ik van Cisco zie en hoor altijd dat ze zo lek als een zeef zijn? Is dat omdat het enige interessante aan ze is dat ze lekken hebben, of...? Ik kan me herinneren dat er dat hele fiasco was met de NSA en backdoors was, maar dat kan het nauwelijks zijn lijkt me. Zeker na zo'n tijd geleden.

Iemand verduidelijking?
lordfragger @sxbrentxs29 januari 2017 16:19
Cisco heeft in een aantal markten zowat hetzelfde probleem als adobe met flash: hun producten worden heel veel gebruikt en zijn dus ook een interessant doelwit voor aanvallers. Dat is ook meteen de reden dat de NSA zoveel interesse had/heeft in cisco: een groot deel van het internet draait op cisco hardware.

De webex software wordt zakelijk relatief veel gebruikt en is dus ook een leuk doelwit. Dat er zoveel kritieke lekken inzitten is uiteraard wel wat slordig, een bedrijf van de omvang van cisco zou gewoon veel meer moeten investeren in de veiligheid van hun producten.

De reden dat je minder van hen hoort is imo vooral dat ze zich op de zakelijke markt richten. Van cisco ga je niet zo snel billboards langs de snelweg zien om een nieuw product aan te kondigen. In de zakelijke markt komt cisco gewoon zelf langs bij hun grotere klanten om hun nieuwe producten voor te stellen en te verkopen.
latka @lordfragger30 januari 2017 01:31
Ik denk dat een andere reden ook zwaar weegt: Cisco koopt veel zaken (zo ook Webex). Dit is gemaakt door een kleinere partij die (vermoedelijk) haast heeft gehad (time to market is time to money enzo). Dat betekent vaak ook grotere risico's nemen en de code kwaliteit is dan niet nummer 1. Bij een overname wordt er wel naar de boeken gekeken, de risico's van de software die overgenomen wordt wordt vaak onderbelicht. Na de overname gaat een grote groep ontwikkelaars aan de wandel het het hele systeem komt in onderhoudsmodus waar het mantra is: "don't touch it, we don't know what it does".
twcm @latka1 februari 2017 06:02
Web-Ex is idd overgenomen door Cisco.

Dit was echter in maart 2007, dus bijna 10 jaar geleden.
https://en.wikipedia.org/wiki/WebEx

Als na 10 jaar jouw opmerking nog steeds waar is zou het wel erg droevig gesteld zijn.
Bovendien zijn de originele programmeurs mee overgenomen. (In eerste instantie; wat ze daarna zijn gaan doen, who knows)
latka @twcm1 februari 2017 14:21
Helaas in de praktijk mogen zien: software is te complex en de risicos te groot om eens echt lekker aan de gang te gaan.
Anonymoussaurus @sxbrentxs29 januari 2017 15:24
Ik ben het helemaal met je eens, maar er lijken een aantal dingen die dat in twijfel trekken (of Cisco banden met de NSA zou hebben).

Je hoort inderdaad opvallend vaak dat Cisco zo lek is, en dat de NSA daar dan misbruik van maakt. Maar wat ik uit een aantal artikelen kan halen, is dat Cisco dat niet met opzet doet, want ze waarschuwen de gebruikers/consumenten ook netjes: nieuws: Cisco en Fortinet brengen waarschuwingen uit voor NSA-exploits

Het lijkt er dus op dat de NSA de lekken wel gebruikt (mits het praktisch makkelijk te doen is, want om nou zoveel moeite moeten te gaan doen om 1 gebruiker in de gaten te kunnen houden. De NSA doet dat niet, die doet dat vaak in 1 keer (dus sleepnetten)), maar dat Cisco ze wel wilt dichten, en dus geen banden met de NSA lijkt te hebben. Echter, de meningen lijken verdeeld, ook bij tweakers, want als je even een paar Tweakers-artikelen doorspit en control F't op "NSA", dan vind je vaak alleen maar "welles nietes" spelletjes.

Misschien leuk voor Sander van Voorst om hier eens een artikel/onderzoekje op te doen :p. Het is nu namelijk een beetje koffiedik kijken, want er is geen bewijs dat de NSA banden heeft met Cisco, of vice versa, terwijl Cisco toch zo'n beetje bekend staat als het doorgeefluik voor de NSA (vanwege de nieuwsartikelen).
sxbrentxs @Anonymoussaurus29 januari 2017 16:01
Dus, voor mijn eigen duidelijkheid, door dat hele NSA gedoe heeft Cisco in feite een vies imago?
Anonymoussaurus @sxbrentxs29 januari 2017 16:04
Ja, zo kun je het wel stellen. Alhoewel, zoals ik dus al zei: er is geen bewijs dat Cisco en de NSA banden hebben, maar er is ook geen bewijs dat ze dat niet hebben.

[Reactie gewijzigd door Anonymoussaurus op 25 juli 2024 05:28]

slopert @Anonymoussaurus30 januari 2017 21:44
Wij zijn op dat onderbuikgevoel ook overgestapt op een ander merk voor onze firewall. Ook al zou Cisco helemaal clean zijn.
Blokker_1999
@Anonymoussaurus29 januari 2017 16:18
Cisco moet geen banden hebben met de NSA. De NSA is groot en machtig genoeg om enkele mensen binnen te krijgen in het bedrijf die backdoors kunnen achterlaten. En natuurlijk gaat Cisco lekken niet verbergen, het vertrouwen van hun klanten is zeer belangrijk.
Anonymoussaurus @Blokker_199929 januari 2017 17:16
Dat zegt natuurlijk vrij weinig. Regeringen zijn ook groot en machtig, want zij beslissen veel. Betekent dit dan ook dat ze zo veilig zijn?

En dan wat betreft het verbergen van lekken en het vertrouwen van hun klanten: toen Yahoo en Dropbox slachtoffer waren/werden van een hack, is dat ook pas heel laat gecommuniceerd naar hun klanten, dus dat schaadt ook het vertrouwen van de klant. Kijk hier maar eens:

nieuws: Yahoo wist in 2014 al van staatshackers die op netwerk inbraken

nieuws: Dropbox-hack van 2012 blijkt gegevens van 69 miljoen gebruikers te om...

[Reactie gewijzigd door Anonymoussaurus op 25 juli 2024 05:28]

Anoniem: 145867 @Anonymoussaurus29 januari 2017 21:20
Waarom zou NSA niet heel veel mensen in dienst hebben om zero days op te sporen in dit soort apparaten van Cisco. Wel of niet toestemming van Cisco, ze gaan sowieso opzoek naar zero days. Zulke hardware is als het ware de toegangspoort tot van alles. Als je daar door heen bent....
Marctraider @Anonymoussaurus29 januari 2017 20:40
Ooit van een dubbele agenda gehoord? Geen van die miljardenbedrijven zijn te vertrouwen tegenwoordig. Ze weten zelfs intern niet alles van elkaar...
Wallus @sxbrentxs29 januari 2017 16:30
Is dat wellicht ook niet het lot dat bij (1 van) de grootste te zijn doet horen? Dan sta je altijd wat meer in de belangstelling.
dasiro @sxbrentxs29 januari 2017 23:38
dat heeft vooral met perceptie, sensatie en ook sensibilisering te maken. Hier krijg je mooi het bericht: er was een probleem en het is opgelost, voor elke kritieke bug dat er zo opgelost wordt, blijven er een onbekend aantal verborgen, waarvan niemand weet of ze actief misbruikt worden. Lees de berichten eerder in die context en je zal bedrijven zoals cisco al in een veel minder negatieve context bekijken.
sxbrentxs @dasiro30 januari 2017 13:19
Het is niet dat Ik er negatief op kijk, het is dat ik dit er alleen maar over hoor. Maar mij is verteld dat, inderdaad, ze op de zakelijke markt heel actief zijn en hun spullen gewoon prima zijn. Hetgeen waar ze voor het publiek bekend staan is dus dat NSA gedoe en dat er niks anders over verteld wordt dan lekken die wel of niet opgelost zijn. In ieder geval niet over een nieuwe uitvinding, of ontwikkeling of strategie. Maar dat komt dus omdat ze zich bezig houden met de zakelijke markt, en "ons" dus een soort van in het duister laten.
Anoniem: 636203 @sxbrentxs30 januari 2017 09:14
Ik vermoed zelf ook dat Cisco meewerkte met de NSA. Ook al werden de verzendingen onderschept en gemodificeerd op een andere locatie, de NSA moest natuurlijk wel weten welk pakket ze wanneer moesten onderscheppen. Dat kan eigenlijk alleen maar met medewerking van Cisco. Ook moet de NSA broncode en technische informatie over de routers hebben om de modificaties te kunnen uitvoeren. En als laatste kon Cisco dit makkelijk verhinderen door het digitaal ondertekenen van firmware, wat modificeren onmogelijk maakt. Dat hebben ze nooit gedaan. Dus voor mij staat vast dat ze meewerkten.

In China is Cisco bijna onverkoopbaar geworden. Ook in de rest van de wereld dalen de verkopen. Ik hoop dat Europa ook stopt met het aanschaffen van Cisco.
sxbrentxs @Anoniem: 63620330 januari 2017 13:26
Dus als nou blijkt dat Cisco het slachtoffer was van (corporate) espionage had je liever ook gewild dat ze afsterven dan dat je de (corporate) espionage de kop in drukt? Want de enige manier waarop Cisco het niet door zou kunnen hebben gehad is als er een boel mensen geïnfiltreerd waren/zijn en zo informatie door lekken of zelf aan de slag gaan. Er is hier zoveel meer kleur aanwezig dan het simpele zwart-wit-vlak dat jij beschrijft.

Het lijkt mij beter als Cisco z'n spulletjes op orde krijgt. En ik denk dat ik wel weet waarom China geen Cisco apparatuur koopt. Klein beetje hetzelfde verhaal bij de meeste dingen die uit het westen komen en naar China gaan. Komt er simpel weg gewoon moeilijk in.
Anoniem: 636203 @sxbrentxs30 januari 2017 15:00
Als Cisco niet meewerkte maar geïnfiltreerd was dan nog vind ik het goed dat ze failliet gaan. Dan leert de Amerikaanse overheid eens af om apparatuur van Amerikaanse bedrijven als spionage gereedschap te gebruiken.
kozue 30 januari 2017 09:00
Ik snap niet dat er nog steeds browserplugins gebruikt worden. De genoemde functionaliteit kan toch prima als losse applicatie, dat hoeft toch niet in een browser te integreren? Heb je niet alleen geen last meer van hacks via websites maar hoef je ook niet 3 verschillende versies te onderhouden.
sxbrentxs @kozue30 januari 2017 13:28
Met een application moet je bijvoorbeeld wel een minimum aan Windows vereisten bij houden met iedere versie weer zijn eigen lekken etc. Met browsers is dat een stuk makkelijker en dichter. Dus kan op zich wel begrijpen waarom ze voor de browser zijn gegaan.
kozue @sxbrentxs31 januari 2017 09:14
Een binaire browserplugin is ook platform-afhankelijk en heeft dus ook minimale systeemeisen. Kijk bv naar Flash waar Mac en vooral Linux vaak een oude brakke trage versie kregen en vooral op Windows gefocust werd. Browserplugin of losse applicatie is voor systeemeisen hetzelfde, behalve dat er nog eisen aan de browser als extra bij komen.
woekele 30 januari 2017 11:16
Vraag: blokkeert of update't Chrome automatisch de oude onveilige extensie? Eventueel na een update van Chrome?

Daarnaast probeer ik te achterhalen welke gebruikers Webex hebben op hun systemen. Maar als je alleen de extensie installeert en niet de tool, dan staat het niet als geïnstalleerd programma in de lijst, dus moeilijk op te sporen met standaard beheertools. En een extensie mag je zonder beheerrechten installeren, dus dat kan iedereen hebben bij wijze van spreke.

Belangrijke vraag ook nog: zitten de bug(s) in de extensie zelf, of in de geïnstalleerde webex-software die wordt aangeroepen door de extensie?

[Reactie gewijzigd door woekele op 25 juli 2024 05:28]

Cerberus_tm 29 januari 2017 15:25
Ik hoop dat iedereen die plug-ins gebruikt in zijn browser die standaard op "klikken om uit te voeren" heeft staan, opdat ze niet zonder interactie code kunnen uitvoeren. Dan ben je redelijk veilig.
Anonymoussaurus @Cerberus_tm29 januari 2017 15:30
Ik weet niet of je dan ook adblockers bedoelt, want dat is niet zo praktisch natuurlijk :p. Volgens mij kan dat überhaupt niet eens, want browser-extensies zoals adblockers zijn/moeten continu bezig (zijn). Met Flash maakt dat natuurlijk niet zo heel veel uit, want dat gebruik je toch niet altijd (voornamelijk omdat niet elke pagina per se Flash content moet bevatten, en omdat HTML 5 de positie van Flash Player inneemt). Daarom kan je plugins zoals Flash veel makkelijk click-to-play maken dan browser-extensies.

Zelf heb ik Flash Player als click-to-play staan.

Ik zie nu trouwens pas dat je "plug-ins" zei en geen "extensies" |:(.

[Reactie gewijzigd door Anonymoussaurus op 25 juli 2024 05:28]

Cerberus_tm @Anonymoussaurus29 januari 2017 15:56
Dit geldt inderdaad hoofdzakelijk voor plug-ins. Voor extensies is dit normaliter niet mogelijk; maar dat is ook niet zo erg, aangezien die geen externe code uitvoeren (code van buiten de browser).
Anonymoussaurus @Marctraider29 januari 2017 21:44
Ik heb totaal geen last van slechte performance in m'n browser, en waarom zou ik het op m'n router doen? Ja, dat geldt dan voor het hele netwerk, maar dit update zichzelf automatisch, en anders moet ik zelf telkens regeltjes gaan toevoegen.
kozue @Marctraider30 januari 2017 08:57
Beter beide tegelijk. Extensies kunnen veel nauwkeuriger werken, routerblacklists blokkeren alleen een heel domein.
WhiteDog 29 januari 2017 14:17
Dat er ook nog een fix kwam voor IE en Firefox stond al in de de mededeling van afgelopen week.
tim-405 29 januari 2017 21:23
Eigenlijk gewoon niet te geloven...

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq