思科已在其Webex视频会议服务中修补了多个令人困扰的安全漏洞。视频会议软件中的缺陷由Webex客户IBM标记。该公司的IBM研究部门和IBM的CISO办公室对日常工作中使用的协作工具进行了更深入的研究，以更好地了解它们如何影响虚拟会议。在调查过程中，该公司的安全研究人员发现了Webex中的三个漏洞。

如果被利用，这些缺陷可能会使恶意行为者成为“鬼魂”并参加会议而未被发现。在仍然可以完全访问视频，音频，聊天和屏幕共享功能的同时，将无法在参与者列表上看到他们。

更糟的是，即使被排除在外，鬼仍可能会留在Webex会议中，同时仍保持音频连接，使他们能够收听敏感的公司业务。此外，即使不被允许参加会议，幽灵也可以从会议室大厅访问有关会议参与者的信息，包括其全名，电子邮件地址和IP地址。

IBM研究团队在检查该平台对企业安全和隐私的影响时，发现了Cisco Webex中的三个漏洞，分别为CVE-2020-3441，CVE-2020-3471和CVE-2020-3419。

这些缺陷会影响具有唯一会议URL的预定会议，甚至影响Webex Personal Rooms。但是，个人会议室可能更易于利用，因为它们通常基于会议室所有者名称和组织名称的可预测组合。

一经发现，IBM便将漏洞报告给思科，并且已对所有漏洞进行了修补。但是，两家公司都同意限制有关缺陷的信息传播，直到所有补丁都可用以降低整个行业的风险为止。

为避免在视频会议期间成为任何潜在攻击的受害者，IBM建议组织测试新的协作工具的安全性，评估可信的所有呼叫策略，使用唯一的会议ID，实施会议密码或PIN，通过点名开始会议，打开通知，在进行背对背通话时，立即结束可疑呼叫，锁定会议并重新开始会议。