เตือนผู้ใช้ Cisco WebEx และ Zoom เสี่ยงได้รับผลกระทบด้านความปลอดภัย
เตือนผู้ใช้ Cisco WebEx และ Zoom เสี่ยงได้รับผลกระทบจากข้อบกพร่องด้านความปลอดภัย
Cequence Security ได้ออกมาเตือนถึงแพลตฟอร์มการประชุมทางไกลออนไลน์ โดยผ่านเครือข่าย (Web Conferencing Platforms) ที่อาจทำให้มีช่องโหว่ที่ทำให้ผู้โจมตีสามารถเข้ามาทำการสอดแนมในการประชุมทางโทรศัพท์ (Conference Calls) ได้
นักวิจัยด้านความปลอดภัยได้เปิดเผยถึงวิธีที่ผู้โจมตีจะใช้สอดแนมในการประชุมทางวิดีโอ ที่ทำงานบนแพลตฟอร์ของ Cisco WebEx และ Zoom
ข้อบกพร่องที่มีการค้นพบโดย Cequence Security ได้รับฉายาว่า "Prying Eye" นั้น เป็นจุดอ่อนของช่องทางการติดต่อสื่อสารระหว่างแอปพลิเคชั่น (Application Program Interface: API) ของระบบประชุมทางไกลออนไลน์ (Web Conference) ที่จะช่วยให้ผู้โจมตีสามารถระบุได้ว่าบริการหรือช่องทางใดที่จะใช้ในการโจมตี (Enumeration) โดยผู้โจมตีสามารถที่จะระบุได้ว่าควรทำการโจมตีที่User Account ใด หรือทรัพยากรส่วนใดที่มีการรักษาความปลอดภัยที่ไม่เข้มแข็งพอ เพื่อค้นหาการโทรหรือการประชุมที่เปิดอยู่
การโจมตีแบบ Enumeration
หมายถึง ปฏิบัติการที่ใช้วิธีการเดา Passwordจากทุกความเป็นไปได้ของตัวอักษรในแต่ละหลัก (Brute Force) เพื่อคาดเดาหมายเลข ID ซึ่งในกรณีนี้เรากำลังพูดถึงการประชุม (Meetings) หรือการโทร (Calls) แบบ Conferenceถ้าหากผู้โจมตีสามารถเดาหมายเลขการประชุม (Meeting ID Number) ได้ถูกต้อง และผู้ให้บริการยังไม่มีการป้องกันด้วยรหัสผ่าน ผู้โจมตีก็สามารถที่จะเข้าถึงได้ในทันที
เทคนิคการโจมตีดังกล่าว สามารถทำงานกับแอพพลิเคชั่นต่างๆ ที่ใช้ตัวเลขเป็นตัวระบุ (หรือที่เราเรียกกันง่ายๆ ว่าการสุ่มรหัสผ่าน) แต่ Cequenceกลับตั้งข้อสังเกตว่า มันเป็นหลักปฏิบัติทั่วไปที่จะปกปิดการใช้งานการรักษาความปลอดภัยขั้นพื้นฐาน เช่น รหัสผ่านสำหรับการประชุมผ่านเว็บ เพื่อลดความขัดแย้ง (Friction) ระหว่างผู้เข้าร่วมประชุม ซึ่งจุดอ่อนดังกล่าวก็อาจจะก่อให้เกิดปัญหา โดยเฉพาะอย่างยิ่งสำหรับผู้ที่นำ Meeting ID มาใช้ซ้ำ นั่นเป็นการเปิดโอกาสให้ผู้โจมตีเข้ามาสอดแนมการโทรหรือการประชุมออนไลน์ได้ในทุกๆ ทาง ในอนาคต
"ในการกำหนดเป้าหมาย API (Application Program Interface) แทนที่จะเป็นการกรอกแบบฟอร์มบนเว็บนั้น ผู้ไม่ประสงค์ดีสามารถใช้ประโยชน์จากการใช้งานง่าย และความยืดหยุ่นที่ API นำมาสู่ชุมชนนักพัฒนา" นี่คือคำกล่าวของ Shreyans Mehta ประธานเจ้าหน้าที่บริหารฝ่ายเทคโนโลยี (CTO) และผู้ร่วมก่อตั้งของ Cequence Security "ส่วนในกรณีของช่องโหว่ (Vulnerability) ที่มีฉายาว่า Prying-Eye นั้น ผู้ใช้ควรยอมรับในรูปแบบความรับผิดชอบ ซึ่งไม่เพียงแต่จะเป็นการใช้ประโยชน์จากคุณลักษณะด้านความปลอดภัยของผู้จัดประชุมผ่านเว็บเพื่อปกป้องการประชุมของพวกเขาเท่านั้น หากแต่พวกเขายังต้องใช้ขั้นตอนพิเศษในการยืนยันตัวตนของผู้เข้าร่วมประชุมด้วยเช่นกัน"
ก่อนหน้านี้ Cequence ได้ทำการแจ้งเตือนทั้งสองบริษัทถึงจุดอ่อนที่ว่านี้ ตั้งแต่เดือนกรกฎาคมที่ผ่านมา ก่อนที่พวกเขาจะเปิดเผยเรื่องราวต่อสาธารณะในวันนี้ เพื่อให้เวลาทั้ง Cisco และ Zoom ได้ทำการแก้ไขข้อบกพร่องดังกล่าว ซึ่งทาง Cisco และ Zoom เองก็ได้มีการตอบรับด้วยการเปลี่ยนการตั้งค่าความปลอดภัยเริ่มต้นและออกคำแนะนำให้กับลูกค้า เพื่อช่วยให้พวกเขาหลีกเลี่ยงกับข้อบกพร่อง (Vulnerability) ดังกล่าว
"ที่น่าสังเกตก็คือ ขั้นตอนที่มีประสิทธิภาพที่สุดในการเพิ่มความปลอดภัยให้กับการประชุมทั้งหมดนั้นจะต้องใช้รหัสผ่าน ซึ่งจะเปิดใช้งานตามค่าเริ่มต้นสำหรับการประชุมของ WebEx ทั้งหมด" ทีมรักษาความปลอดภัยของ Cisco ได้กล่าวในแถลงการณ์ที่จัดทำโดยCequence
Richard Farley ผู้บริหารด้านความมั่นคงปลอดภัยสารสนเทศ (Chef Information Security Officer - CISO) ของ Zoom Video Communications กล่าวว่า "Zoom ได้ทำการปรับปรุงระบบป้องกันความปลอดภัยให้กับเซิร์ฟเวอร์ของเรา เพื่อทำให้ผู้ไม่ประสงค์ดีหรือ Bot ที่มีเจตนาร้ายเข้าถึงการประชุมของZoom ได้ยากยิ่งขึ้น"
นอกจากนี้ Farley ยังกล่าวเพิ่มเติมอีกด้วยว่า ขณะนี้รหัสผ่านถูกเปิดใช้งานโดยค่าเริ่มต้น (Default) แต่เน้นว่ามันยังคงมีความเป็นไปได้ที่จะช่วยแบ่งเบาภาระในการตั้งค่าความปลอดภัยดังกล่าวเพื่อให้เหมาะกับผู้ใช้ที่แตกต่างกัน โดยเขาได้กล่าวว่า "เช่นเดียวกับตัวเลือกด้านการรักษาความปลอดภัยอื่นๆ ที่ผู้จัดการประชุม (Host) ต่างก็มีอิสระที่จะเลือกการตั้งค่าความปลอดภัยที่เหมาะสมกับความละเอียดอ่อน (Sensitivity) ของการประชุมของพวกเขา ให้มากที่สุด"
Cequence Security ยังเสริมอีกด้วยว่า มันยังไม่ได้ลองทดสอบกับผู้ให้บริการการประชุมผ่านเว็บ (Web Conference) รายอื่นๆ ทั้งหมด ดังนั้น ผู้ให้บริการรายอื่นๆ ก็อาจจะมีความเสี่ยงได้เช่นกัน แต่ข้อบกพร่องดังกล่าวสามารถหลีกเลี่ยงได้โดยการกำหนดรหัสผ่านสำหรับการประชุมทางวิดีโอหรือการประชุมที่ละเอียดอ่อน และยังต้องทำการยืนยันตัวตนของผู้เข้าร่วมประชุมทุกคนที่ทำการโทรอีกด้วย
ช่องโหว่ (Vulnerability) ล่าสุดนั้นเกิดขึ้นไม่ถึงหนึ่งปีหลังจากที่มีการค้นพบข้อบกพร่องในการเรียกใช้โค้ดจากระยะไกล (Remote Code) ในบริการอัพเดทของ WebEx ในกรณีนี้ แฮกเกอร์สามารถเรียกใช้เครื่องมือบริการอัพเดตของ Windows (Windows Update Service Tool) ซึ่งถือว่าเป็นการมอบความสามารถในการเรียกใช้คำสั่งด้วยระดับสิทธิพิเศษของระบบ(System-Level Privileges)