Webex-GAU: Potentiell Hundertausende Meetings in Ministerien öffentlich zugänglich

Sicherheit (Pexels, allgemeine Nutzung)[English]Löchrig wie ein Schweizer Käse, das ist die Umschreibung der Kommunikationssoftware Webex von Cisco. Recherchen der Zeit ergaben, dass die Software mehr Schwachstellen aufweist als der Entwickler Cisco öffentlich bestätigt hat. Laut Zeit-Recherche von Eva Wolfangel fand man "Tausende Videokonferenzen von Ministerien" – und wählte sich in einige dieser Meeting-Räume ein. Damit weitet sich das Thema, welches ich hier im Blog schon mal im Rahmen der Bundeswehr Taurus-Abhöraffäre angerissen hatte, deutlich aus und entwickelt sich zum GAU für deutsche Behörden.


Anzeige

Was ist Webex?

Webex ist der Name einer Software für Web- und Videokonferenzen, die vom US-Unternehmen Cisco vertrieben wird. Die Software ist bei vielen Behörden, Ministerien und auch Firmen im Einsatz. Cisco Webex sieht sich aktuell als die führende Unternehmenslösung für Video- und Webkonferenzen. Beworben wird eine sichere softwarebasierte Plattform für Video- und Audiokonferenzen, Gruppennachrichten und Webinare. Die Teilnahme an Konferenzen (Meetings) kann über alle Browser, Geräte und Systeme erfolgen, indem die Teilnehmer einfach einen Anruf annehmen.

Rückblick auf den Webex-Flop

Mir ist Webex in der Vergangenheit aber häufiger durch seine Sicherheitslücken aufgefallen, egal was der Hersteller in Bezug auf "sichere softwarebasierte Plattform" faselt. In diesem Artikel hatte netzbegrünung darauf hingewiesen, dass die Verwendung von Closed-Source Konferenzsoftware wie Webex durch Behörden und die Bundeswehr problematisch sei. Keiner kennt den Code und dass die Konferenzen über Server von US-Anbietern laufen, ist möglicherweise auch ein Problem – speziell, wenn es um Angelegenheiten der Bundeswehr oder in Ministerien geht.

Netzbegrünung war dann darauf gestoßen, dass beim Konferenzsystem Webex by Cisco das Problem besteht, dass für die Meeting-Instanzen Zuordnungsnummern in aufsteigender numerischer Reihenfolge vergeben werden. Mit Kenntnis der Zuordnungsnummer einer halbwegs aktuellen Webex-Konferenz lassen sich so die Zuordnungsnummern weiterer Konferenzen erraten.

Auf diesem Weg werden Informationen über noch anstehende oder bereits abgelaufene Meetings offen gelegt. netzbegrünung schreibt hier, dass der Titel des Meetings, der Name der Person die das Meeting erstellt hat, die Telefoneinwahldaten, Uhrzeiten des Meetings und gegebenenfalls weitere Informationen öffentlich abrufbar seien – sofern dies von den Nutzenden nicht anders eingestellt wurde.


Anzeige

Das wirft möglicherweise ein neues Licht ein abgehörtes Gespräch von Bundeswehrangehörigen über Einsatzmöglichkeiten des Waffensystems Taurus Schlagzeilen (siehe Sicherheitsmeldungen 1. März-Woche 2024: AEE Europe, Bad Schwalbach, Hochschule Kempten und mehr). Unklar war, wie der Gesprächsmitschnitt, der von Russland veröffentlicht wurde, mitgehört und aufgezeichnet werden konnte. Mit den obigen Kenntnissen ist es denkbar, dass die russischen Überwacher durch ein simples Manipulieren der WebEx-Meeting-Zugangsnummern an den Konferenzen teilnahmen und diese mitschnitten. Ich hatte den Sachverhalt im Beitrag WebEx, die Schwachstelle und die Konferenzlinks der Bundeswehr aufgegriffen. Das Bundesverteidigungsministerium und Cisco negieren aber einen Zusammenhang des Taurus-Gesprächsmittschnitts mit der hier im Beitrag angesprochenen Sicherheitslücke, was von der Zeit aber angezweifelt wird.

Hunderttausende Meetings betroffen

Zeit Online hat dann weiter recherchiert und stellte fest, dass Hunderttausende WebEx-Meetings von Behörden und Unternehmen in Deutschland, den Niederlanden, Italien, Österreich, Frankreich, Schweiz, Irland und Dänemark potenziell öffentlich zugänglich gewesen sein dürften. Es wurde wohl der gleiche Mechanismus wie oben beschrieben verwendet, um die Meetings zu identifizieren und sich stichprobenartig dort einzuwählen.

Webex unsicher

Zeit Online hat die Ergebnisse der Recherchen im Artikel "Webex: Mithören, wenn Beamte sprechen" (leider hinter einer Paywall) veröffentlicht und beschreibt, wie man sich in die sogenannten "Daily"-Meetings des Bundesamts für Migration und Flüchtlinge (BAMF) sowie in ein Meeting bei der Barmer-Krankenkasse einwählen konnte. Die Teilnahme war über einen Link mit Zuordnungsnummer möglich und erforderte kein Passwort.

Nachdem Eva Wolfangel den Anbieter Cisco informierte hatte, schloss Cisco die Schwachstelle Ende Mai 2024. Eine Ausnutzung dieser Schwachstelle ist, abseits der Zeit-Recherche, bisher unbekannt, schreibt heise in diesem Artikel, der die Erkenntnisse aus dem Zeit Online-Beitrag aufbereitet.

BMI wiegelt ab, wird die Debatte geführt?

Weiter oben im Text hatte ich auf den Artikel von netzbegrünung hingewiesen, die feststellten, dass die Verwendung von Closed-Source Konferenzsoftware wie Webex durch Behörden und die Bundeswehr problematisch sei. Eigentlich gehört Webex längt aus Ministerien und Behörden verbannt, da die Interna der Software im Dunkeln bleiben.

Interessant ist, was das Bundesinnenministeriums (BMI) in einer Stellungnahme verlauten lässt. heise zitiert in seiner Zusammenfassung aus der Stellungnahme des Bundesinnenministeriums (BMI), welches weiterhin von einer "angeblichen Sicherheitslücke" spricht. Das Ministerium weist darauf hin, dass "Schwachstellen in Software-Produkten allein noch keine Grundlage für eine grundsätzliche Aussage über das IT-Sicherheitsniveau eines Produktes" böten. Der Einzelfall und die Rahmenbedingungen müssten betrachtet werden und seien für die Beurteilung maßgeblich. Dem BMI ist ja auch das BSI (Bundesamt für Sicherheit in der Informationstechnik) unterstellt – und die müssen es ja wissen, machen die doch etwas mit Cyber.

Von den Bundestage-Abgeordneten Misbah Khan und Konstantin von Notz (Bündnis 90/Die Grünen) fordern aber jetzt ein Umdenken sowie eine "Generalrevision unserer Telekommunikationsinfrastrukturen hinsichtlich ihrer Integrität". "Neben mehreren Bundesministerien und -behörden, dem Bundestag, Fraktionen und Staatskanzleien sind offenbar [von obigem Sachverhalt] auch mehrere große Unternehmen und das BSI selbst betroffen". Da aber die Zuständigkeiten beim Bundesinnenministeriums (BMI) liegen und ich oben dessen Stellungnahme angesprochen habe, wird sich da schlicht nichts bewegen.

Ergänzung: Es gibt einige Diskussionen in nachfolgenden Kommentaren mit dem Tenor "mit WebEx online wäre das nicht passiert" – hatte ich was zu geantwortet. Der Vorfall hat jedenfalls zu Verstimmungen in der niederländischen Regierung geführt (siehe WebEx-Gate: Versäumnisse der Verantwortlichen, Blamage für Deutschland – und CDU-Hack).

Ähnliche Artikel:
Sicherheitsmeldungen 1. März-Woche 2024: AEE Europe, Bad Schwalbach, Hochschule Kempten und mehr
WebEx, die Schwachstelle und die Konferenzlinks der Bundeswehr
Freie Universität (FU) Berlin und das WebEx-Problem: Einsatz ist unzulässig
Cisco Webex: Schwachstelle erlaubte mithören durch 'Geister-Teilnehmer'
Neue Schwachstelle (CVE-2019-1674) in Cisco WebEx Meetings
Privileg Escalation-Schwachstelle in Cisco WebEx Meetings

Cyberspionage: CDU betreibt veralteten Nextcloud-Server; Offener Jitsi-Server der Grünen
Cyberspionage: CDUCDU erneut gerettet – deren NextCloud-Server ist wieder online
Rückblick: Cybervorfälle der letzten Tage (6. Mai 2024)
Cyberangriff auf das CDU-Netzwerk
Digitalkompetenz und Cybersecurity: Neues vom CDU-Hack & nächstes CDU-Datenleck


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

19 Antworten zu Webex-GAU: Potentiell Hundertausende Meetings in Ministerien öffentlich zugänglich

  1. Pau1 sagt:

    Was macht Cisco eigentlich beruflich?
    Es ist doch jedem noch so unerfahrenen Praktikanten klar, das man solche ID nicht nach außen hin durchnummerieren kann,das da mindestens eine Lookuptabelle zwischen gehört.
    So blöd kann doch niemand sein, außer er wird dafür bezahlt, ist korrupt?
    Auch der dasTeil eingekauft hat, hat das doch sehen müssen?
    War das BSI nicht involviert worden?
    Hat das Bleiäthyl wirklich so viel IQ bei den Kindern vernichtet?

    • flo sagt:

      Bei Cisco kommt man eigentlich nicht mehr drum rum Vorsatz zu unterstellen. Diese nie endende Reihe von gröbsten Lücken aller Art in ihren Produkten ist nicht mehr einfach nur durch Unfähigkeit wie zum Beispiel bei den Kollegen aus Redmond zu erklären.

      Jeder Hersteller hat da so seine Probleme, mal mehr mal weniger. Aber keiner liefert so konstant auf diesem Niveau, mich wundert ernsthaft dass den Kram noch jemand kauft.

      • Pau1 sagt:

        Andererseits guck Dir bei Boing an, wohin Geldgier führt.
        Bei Boeing direkt zu hunderten Toten.
        Man kann was programmieren, das in 2h funktioniert.
        Aber wehe man fängt an alle Parameter zu prüfen und passende Reaktionen zu implementieren, dann ist man schnell ne ganze Woche beschäftigt, ohne das die sichtbare Produktfunktion besser Verkaufbart würde. Wer zahlt denn für sehr teuren Code, der nur robuster im Fehlerfall ist?

        (Auch Boeing: Das MSAS System wurde von einem Sensor gesteuert. Rin Sensor. Aber gegen viel Geld könnte man einen 2. Sensor bestellen. Es gab aber keine Redundanz m, sondern es wurde nur bei jedem Start einmal zwischen den Sensoren gewechselt. Das waren 2 Zeilen Code.
        Redundanz hätte erfordert, das programmiert werden müsste, was genau gemacht wird, wenn die Sensoren unterschiedliche Werte liefern. Das ist Aufwändig. Jetzt wird es gemacht, nach über 300 Toten Jetzt werden auch andere Sensoren mit ausgewertet, ein riesiger Aufwand, verglichen zum Abfragen eines Flags…

    • Anonymous sagt:

      Cisco baut beruflich Backdoors, das sollte nun inzwischen auch der blindeste IT Verantwortliche gemerkt haben.

  2. Anton sagt:

    was kann dabei herausmommen? Doch nur, auf welch dilletantischem Niveau wir mittlerweile in Organisationsfragen agieren, ob Verwaltung oder Infrastruktur, das Versagen ist global ersichtlich, dazu muss man keinen Meetings beiwohnen, es reicht, die Augen zu öffnen.

    Man braucht keine Sorge haben, dass etwas Wichtiges oder Bahnbrechendes, was besonderer Geheimhaltung bedürfte, nach außen fließt. Da gibt es einfach nichts.

  3. Starmanager sagt:

    Webex ist Spielzeugabteilung. Wenn man was verkaufen moechte oder eine Schulung machen… aber mehr nicht. Kostet sogar Geld.

    • Fritz sagt:

      Vor vielen Jahren wurde Webex von Cisco als Tool für den Kundensupport entwickelt (ähnlich z.B. HPE My Room). Die universelle Vermarktung begann zu Corona-Zeiten.

  4. Hobbyperte sagt:

    Tja, Hauptsache gute 10.000 Euro jeden Monat kassieren und erstma' alles schön digitalisieren, um die Feinheiten kümmert man sich dann später … "nach uns die Sintflut". Und genau die ereilt das Land inzwischen wortwörtlich, hinsichtlich anderer über Jahrzehnte verschlafener Probleme … Industrie- und Sicherheitspolitik, Klima, Migration, Rente, Fachkräfte … der Norbert Blüm sagte ja seinerzeit explizit nicht "wie lange" die Rente sicher ist und darüber "wie hoch" diese in Zukunft sein würde, hatte er ebenfalls keine verbindliche Aussage abgegeben …

  5. janil sagt:

    Wenn alle Alles Wissen, ist geheim dann eigentlich noch notwendig oder bin ich dann "beunruhigt"?
    Passt sicher Einigen auch wieder nicht. Hacken ohne Profit, nur für Wissen.

  6. 1ST1 sagt:

    Da kommt einem wirklich das Schütteln… Hab vor Jahren auch Webex nutzen müssen, da muss man aber zumindestens einen Account haben oder für den Zugang zu einem Kanal eigentlich eine Anmeldung per Emailadresse plus ein Passwort haben, wenn ich mich recht erinnere. Und dann können alle anderen Teilnehmer eigentlich sehen, wer da nicht in die Runde gehört.

    Wäre jetzt mal interessant, die anderen großen Lösungen wie Teams und Zoom (Cisco von wegen Marktführer…) auf gleiche Schwachstellen zu untersuchen. Und auch die tollen OSS-Lösungen wie Jitsi und BBB.

  7. IT-Admin sagt:

    Boah. Wenn ich mir diese Kommentare hier durchlese kommt mir das Kotzen.
    Nur gejammere, dass Webex Scheiße ist. Immer einseitig drauf rumkotzen, aber keine Alternative aufzeigen.
    Sind die anderen Konferenzlösungen wirklich sicherer?

    Microsoft Teams kannst du vergessen. Microsoft hat es nicht einmal geschafft Hacker aus ihrem System zu bringen.
    https://www.golem.de/news/angriffsvolumen-erhoeht-microsoft-wird-die-hacker-in-seinen-systemen-nicht-los-2403-183025.html

    Zoom ist auch eine Katastrophe.
    https://www.heise.de/news/Zoom-behebt-Sicherheitsluecken-unter-Windows-Android-und-iOS-9574367.html

    Die Zeitschrift "Zeit" hat ja nur über Webex recherchiert. Was wäre denn, wenn die Journalisten der "Zeit" auch mal über andere Meeting Software Lösungen recherchieren würden? Wäre das Ergebnis dann anders? Es sollte doch jedem klar sein, dass keine Meeting Software wirklich "sicher" ist. Das lernt man ja in der IT Grundausbildung, was hier einige Herrschaften und Damen ja anscheinend gar nicht haben.

    • ARC4 sagt:

      es geht hier aber nicht darum, ob und wie sicher eine Meetingsoftware ist, sondern, dass Webex für Meetings in kritischen Regierungsbereichen mit hoher Geheimhaltungsstufe eingesetzt wurde, und das Werkzeug dafür entweder nicht die ausreichend erforderlichen Schutzvorkehrungen bietet oder. falsch konfiguriert war (secure by default anyone?)

      • Pau1 sagt:

        Es geht auch darum, das den bunten Prospektenngeglaubt wird und es niemand nachprüft.
        Es gibt Berichte, das Microsoft von staatlichen Unternehmen "überzeugt" wurde, Einblick in den Source Code zu gewähren.
        Und wir haben jetzt das BSI das in einem Projekt namens "sysiphus"(wie ungeheuer witzig) untersucht, wie man Windows härten könnte, weniger redselig machen könnte. Für die vor vor letzte Version…
        Warum lässt das hochbezahlte BSI so etwas wie WebEx zu?
        ich weiß ja,dass wir einer Besatzungsmacht unterstehen… aber so offen?

    • Dat Bundesferkel sagt:

      Cisco ist ein Saftladen. War es schon vor zig Jahren. Immer wieder in Skandale verwickelt, deren Netzwerkprodukte immer und immer wieder mit Hintertüren versehen.

      Hat die Geschäftsentscheider aber nie interessiert… "einmal Cisco, immer Cisco, haben wir immer so gemacht".

      Deren Grütze kommt mir nicht in meine vier Wände. Aber deutsche Unternehmen wissen es (wie immer) besser – darum werden sie auch alle naselang ERFOLGREICH infiltriert.

  8. Anonym sagt:

    Egal ob Webex, Zoom, oder sonst etwas: solange viele Meetings über den "persönlichen Raum" abgewickelt werden ist die Meeting-Teilnahme für Unberechtigte nicht schwer. Sicherheitseinstellungen sind meistens keine gesetzt, so dass einfache jeder in den "Raum" kommt. Man muss nur das Schema für den Link kennen. Und wenn 30 Leute teilnehmen fällt einer mehr nicht auf.

  9. Anonymous sagt:

    Problematisch ist, dass hier zum Thema WebEx einiges durcheinandergebracht bzw. vermischt wird. Auch in diesem Artikel. Dazu kommen noch die bereits erwähnten unqualifizierten Kommentare, von „Kollegen" die offensichtlich keine Ahnung haben von dem, was sie da schreiben.

    WebEx gibt's schon ein wenig länger (kleiner Wink an den Corona Kollegen). Früher ™ gabs es neben WebEx „online" auch eine on-prem Lösung, die zusammen mit Cisco Jabber/CUCM betrieben werden konnte, die hieß „Cisco Webex Meetings Server" und ist seit 31-JUL-2023 EoL. Nachfolger ist der „Cisco Meeting Server". Cisco benutzt den Claim WebEx also nur noch im Kontext ihrer eigenen Cloud Lösung. Genutzt wird von den Behörden tatsächlich aber die on-prem Variante und die scheint wohl äußerst mangelhaft konfiguriert zu sein. Denn viele der genannten Themen/Probleme gibt es in der Cloud Variante gar nicht, z.B. die iterierenden Meetingnummern. Für die mangelhafte Konfiguration kann Cisco aus meiner Sicht erstmal nichts und Cisco WebEx (das echte aus der Cloud) hat dadurch auch keinerlei Nachteile für die Nutzer.

    • Günter Born sagt:

      Danke für deine technische Einordung! Und jetzt liest Du den Artikel nochmals und führst die Einordnung erneut.

      – Es mag korrekt sein, dass WebEx online da wesentlich "sicherer" war (oder mittlerweile ist, da wurde ja kürzlich nachgebessert) und es "nur" um die On-Premises-Lösung ging.
      – Kommen wir zum springenden Punkt: Die Stoßrichtung des Artikels geht in die Richtung "Egal was ihr einsetzt, ihr müsst das sicher betreiben und solltet unabhängig bleiben bzw. wissen was passiert".

      Was wohl zutrifft ist, dass die Bundeswehr eine On-Premises-Variante verwendet. Bei Bundesregierung, BSI und Bundesbehörden macht mich etwas in Bezug auf deinen Kommentar dann doch etwas "unsicher" – hier ein Tweet von Eva Wolfangel:

      der in Konsequenz besagt: "Entweder basieren die Ausführungen im obigen Kommentar auf falschen Prämissen – oder die Recherchen der Zeit sind fehlerhaft". Den Zeit-Artikel kann ich wegen Paywall nicht in Gänze lesen – aber warum sollte Wolfangel im Tweet falsche Angaben machen? Lasse ich an der Stelle mal offen. Habe aber konkret mal nachgefragt – bin gespannt. Oder habe ich dich falsch interpretiert?

      Auf den Kommentar von @Anon2 spare ich mir daher an dieser Stelle eine Antwort.

  10. Anon2 sagt:

    Dank an Anonymous: In der Tat wird in dem Kontext, aber auch hier im Beitrag vieles durcheinander geworfen. Ob dies aus Unwissenheit, Clickbaiting oder Bashingabsicht geschieht, sei mal dahingestellt. Gerade hier im Blog hätte ich mir eine bessere Einordnung gewünscht

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.