Eerder deze week is een journalistiek onderzoek gepubliceerd waarin bekend is geworden dat er een kwetsbaarheid zat in de cloudversie van Cisco Webex, de online vergadersoftware van Cisco. Het NCSC heeft op dit moment geen aanwijzingen dat er actief misbruik heeft plaatsgevonden van deze kwetsbaarheid.
Door de kwetsbaarheid was het mogelijk om de metagegevens van vergaderingen te vinden waardoor informatie over de organisator, tijden en titels van vergaderingen te achterhalen was. Het NCSC heeft geen aanleiding om aan te nemen dat gegevens over andere deelnemers of wachtwoorden toegankelijk waren. Alleen de cloudvariant van de software was kwetsbaar, de on-premise versie niet. Cisco heeft de kwetsbaarheid rondom het verkrijgen van metadata inmiddels verholpen.
Daarnaast is het NCSC op de hoogte van een aanvullende kwetsbaarheid in Cisco Webex die zich onder bepaalde omstandigheden voordoet. Het NCSC staat hierover in contact met Cisco en adviseert de toepassing van onderstaande maatregelen.
Cisco geeft aan voor 28 mei verschillende software updates te hebben uitgevoerd waarin meerdere kwetsbaarheden zijn verholpen. Aangezien het gaat om een cloudoplossing, is het niet nodig voor organisaties om de software te updaten.
Overweeg vergaderingen opnieuw in te plannen
Het NCSC adviseert organisaties om te overwegen om vergaderingen die vóór 4 juni zijn aangemaakt, te verwijderen en opnieuw in te plannen. Deze eerder aangemaakte vergaderingen zijn nog steeds kwetsbaar. Het NCSC hanteert hier een veiligheidsmarge van enkele dagen tussen 4 juni en 28 mei, de dag dat Cisco aangeeft de kwetsbaarheden te hebben verholpen.
In sommige gevallen is het mogelijk dat Cisco een organisatiebrede oplossing kan implementeren. Neem contact op met jouw leverancier om de eventuele mogelijkheden te bespreken. Voor organisaties die vallen onder de RIjksoveheid is deze oplossing al toegepast. Deze organisaties hoeven vergaderingen niet opnieuw in te plannen.
Pas standaard hygiënemaatregelen toe bij online vergaderingen
Daarnaast adviseert het NCSC organisaties de standaard hygiënemaatregelen voor alle online vergaderingen te hanteren, dit zijn:
Stel een wachtruimte in zodat deelnemers expliciet tot de vergadering toegelaten moeten worden.
Zet altijd een wachtwoord of pincode op vergaderingen.
Controleer voor aanvang welke deelnemers in de vergadering aanwezig zijn.
Bespreek geen hoog gevoelige of -vertrouwelijke informatie in online vergaderingen.
Door het hanteren van deze hygiënemaatregelen ondervangt u het risico dat een persoon ongeoorloofd toegang krijgt tot uw vergaderingen. Op de website van Webex staan uitgebreidere maatregelen voor het veilig organiseren van vergaderingen (2).
Neem contact op met Cisco voor een specifieke oplossing voor uw organisatie
Organisaties hebben vaak, in samenspraak met Cisco, een unieke configuratie van Webex toegepast. Het NCSC adviseert organisaties met Cisco contact op te nemen over technische oplossingen die mogelijk zijn in het omgaan met eventuele risico’s die voortvloeien uit de recent bekend geworden kwetsbaarheden. Daarnaast houdt Cisco op haar website een blog bij met de laatste stand van zaken (3).
(1) https://www.zeit.de/digital/datenschutz/2024-06/webex-sicherheitsluecke-ministerien-cybersicherheit-it
(2) https://help.webex.com/nl-nl/article/8zi8tq/Aanbevolen-procedures-voor-beveiligde-vergaderingen:-hosts
(3) https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-june-2024
