Session will be held in Dutch (subtitling available)
Op 4 mei 2024 publiceerde de Duitse journalist Eva Wolfangel een artikel over een beveiligingslek in het videoconferencingplatform Cisco Webex, dat door de Duitse overheid wordt gebruikt. Als gevolg van dit artikel haalde de Duitse overheid haar Webex-omgeving per direct offline. Cisco bracht vervolgens op 4 juni verschillende patches uit om de kwetsbaarheden te verhelpen.
Ook de Nederlandse rijksoverheid maakt intensief gebruik van Webex. Het incident in Duitsland was aanleiding voor de Belastingdienst, aanbieder van de Rijksvideodienst, om de videoconferencingsoftware opnieuw te laten onderzoeken. Dit beveiligingsonderzoek werd uitgevoerd door het cybersecuritybedrijf REQON. Daaruit bleek dat de kwetsbaarheden die in het artikel van de Duitse journalist aan het licht kwamen, slechts het topje van de ijsberg vormden.
Tijdens het onderzoek constateerde REQON een groot aantal ernstige kwetsbaarheden in Webex. Deze maakten het mogelijk om, zonder enige gebruikersinteractie, elk Webex-account te compromitteren en toegang te verkrijgen tot alle vergaderingen en de bijbehorende data.
In deze talk vertellen Jan van der Put en Harm Blankers van REQON hoe hun pentestteam het onderzoek heeft aangepakt. Zij laten ook zien hoe de nauwe samenwerking tussen de Belastingdienst, Cisco en REQON heeft geleid tot een snelle mitigatie van de kwetsbaarheden. Hierdoor kon het Rijksvideoplatform binnen korte tijd weer in een veilige staat worden gebracht.