È stata rivelata una vulnerabilità critica nella piattaforma chat Cisco Webex Connect (precedentemente nota come IMI Chat). Cisco Webex Chat, come noto è ampiamente utilizzato per il supporto in tempo reale, consentendo alle organizzazioni di integrare una chat con un widget nelle applicazioni web per i clienti e personale interno.
Pertanto, questa vulnerabilità permettendo l’accesso non autorizzato a tutte le cronologie delle chat, ha messo a rischio dati sensibili come informazioni personali identificabili (PII), risposte a domande di sicurezza e credenziali.
“I sistemi di chat live sono vettori di attacco interessanti per gli aggressori perché le cronologie delle chat contengono dati sensibili dei clienti. I dati che potrebbero essere estratti da qualsiasi sistema di chat live potrebbero variare da PII dei clienti, risposte a questionari di sicurezza, credenziali per sistemi interni e altro ancora”, spiega Rojan Rijal, CEO e Co-fondatore di Ophion Security, specificando: “Gli sviluppatori possono distribuire rapidamente una Cisco Webex Chat incorporandone il file JS e l’app_id. L’applicazione e i suoi endpoint API gestiscono autenticazione, archiviazione e chiamate di comunicazione, riducendo gli sforzi di progettazione per i clienti. Quando un utente visita una pagina che ha la chat incorporata, questa esegue una serie di chiamate (passaggi) per inizializzare la finestra della chat e prepararla affinché l’utente possa comunicare con un agente”.
Indice degli argomenti
Dettagli della vulnerabilità
La vulnerabilità, spiega l’esperto, è stata causata da un difetto di progettazione critico nel modo in cui Cisco Webex Connect gestiva l’autenticazione: il sistema utilizzava in modo non appropriato una chiave client pubblica (clientKey) come chiave segreta (secretKey) per chiamate API sensibili.
Una pratica roadmap per rendere perfetta la Compliance aziendale: scarica ora la guida
Gli attaccanti potevano, dunque, utilizzare questa chiave per elencare e recuperare le cronologie delle chat, compromettendo potenzialmente dati sensibili.
Fonte: Ophion Security.
In pratica, i ricercatori hanno scoperto che la chiamata API ad un thread utilizzava una ‘clientKey’ per creare nuove sessioni chat e che inviando una richiesta GET con questa chiave gli attaccanti avrebbero potuto recuperare metadati per i thread delle chat inclusi gli identificatori UUID dell’app, l’ID client e l’ID thread, tutte informazioni sufficienti per recuperare successivamente interi registri di conversazioni sensibili.
Con uno script proof-of-concept (PoC) i ricercatori sono riusciti, infatti, a dimostrare come gli attaccanti potrebbero sfruttare questa vulnerabilità possedendo solo informazioni minime, come l’UUID dell’app e l’origine del dominio della chat.
“Quando testato su un’organizzazione reale, abbiamo potuto accedere a tutte le cronologie delle chat per un helpdesk interno progettato per fare comunicare i dipendenti con il team IT interno”, continua Rojan Rijal.
Fonte: Ophion Security.
Possibili conseguenze
Le conseguenze di questa vulnerabilità sono significative:
- Perdita di dati sensibili: le cronologie delle chat possono contenere informazioni personali e aziendali critiche. La loro esposizione può portare a furti di identità, violazione della privacy e danni reputazionali.
- Accesso non autorizzato: gli attaccanti possono ottenere accesso non autorizzato a informazioni critiche, compromettendo la sicurezza dell’organizzazione.
- Compromissione delle credenziali: le credenziali interne e le risposte a domande di sicurezza possono essere utilizzate per ulteriori attacchi mirati.
Misure di mitigazione
Cisco ha rilasciato patch per risolvere la vulnerabilità (l’ultima patch è stata introdotta a gennaio 2025), ma è fondamentale che le organizzazioni adottino ulteriori misure di sicurezza per proteggere le loro comunicazioni:
- Aggiornare il software: assicurarsi che tutti i sistemi utilizzino le ultime patch e aggiornamenti di sicurezza forniti da Cisco.
- Monitorare le attività sospette: implementare strumenti di monitoraggio per rilevare e rispondere rapidamente a qualsiasi attività anomala o sospetta.
- Formazione sulla sicurezza: educare i dipendenti sulle migliori pratiche di sicurezza informatica e protezione delle informazioni sensibili.
Garantire continuità e sicurezza delle operazioni aziendali
La scoperta di questa vulnerabilità evidenzia l’importanza della sicurezza nelle piattaforme di comunicazione aziendale.
Con l’aumento delle minacce cibernetiche, le organizzazioni devono adottare un approccio proattivo alla sicurezza informatica, implementando misure preventive e rispondendo rapidamente alle vulnerabilità scoperte.
La protezione delle comunicazioni e delle informazioni sensibili è cruciale per garantire la continuità e la sicurezza delle operazioni aziendali.
