- Blog home
- >
- Zusammenarbeit
- >
- Unser Fokus auf Sicherheit in einer offenen Welt für Zusammenarbeit
Tags: Cisco Blogs, Cisco Produktsicherheits-Vorfall-Antwort-Team (PSIRT), Cisco-Sicherheit, Compliance, Nicht unterstützte Zusammenarbeitsintegrationen führen zu erhöhtem Kundenrisiko., Sensible Daten über Videokonferenzen, Sicherheit, Sicherheit und Interoperabilität, Sicherheitsprobleme melden, Videokonferenztool, Zoom, Zusammenarbeit über das Internet
Interoperabilität und Offenheit dürfen kein Handels mit Sicherheit sein, und unsere Nutzer dürfen nicht der Ansicht sein, sie sollten einander über den anderen übertinnen. Interoperabilität und Sicherheit können und sollten unerniert funktionieren. Dazu müssen die Software-Unternehmen von heute mit einigen grundlegenden Standards zusammenarbeiten, wie wir unsere gemeinsamen Kunden gemeinsam sichern.
Cisco hat ein umfangreiches Partner-, Entwickler- und Integrator-System entwickelt, sodass unsere Kunden nahtlos die Flexibilität und Wahlmöglichkeit haben, ihre Tools und Workflows mit unseren Zusammenarbeitstechnologien zu über gebühren. Wir setzen uns mit der Interoperabilität mit den Tools, die Sie lieben und von täglich nutzen, aus. Hier sind einige Beispiele für unsere Arbeit, die wir in dieser Hinsicht durchgeführt haben, unsere nativen Integrationen mit Google, Apple, Microsoft, Slack und mehr.
Diese Flexibilität, Auswahl und Interoperabilität muss jedoch in Denklos in Zusammenhang mit Sicherheit und Datenintegrität kommen.
Nicht unterstützte Integrationen bei der Zusammenarbeit können zu erhöhtem Kundenrisiko führen. Kompatibilität und Sicherheit können schwierig sein, und deshalb werden wir nur Drittanbieter unterstützen, die unsere Sicherheitsstandards erfüllen und die sich über unsere unterstützten offenen APIs in unsere Produkte und Dienstleistungen integrieren.
Cisco wurde am 31. Oktober2019
über ein schwerwiegendes Sicherheitsrisiko mit dem Zoom Connector für Cisco benachrichtigt und hat unseren bekannten Prozess zur Untersuchung des Problems befolgt. Wir glauben, dass auch Zoom am 31. Oktober bzw. dort informiert wurde. Am 18. November hat unser CISO die CISO von Zoom über unsere Ergebnisse benachrichtigt und sofortige Maßnahmen zur Benachrichtigung allerSicherheitsrisiken empfohlen. Da wir uns zur Transparenz und zum Schutz unserer Kunden in den sich ständig ändernden Sicherheitslandschaften verpflichtet haben, sind wir über details zu diesem Thema im Detail erfahren.
Der Zoom Connector für Cisco, der Eigentümer und Anbieter von Zoom Video Communications ist, verbindet die Cloud mit dem internen Netzwerk eines Kunden und insbesondere mit einem Cisco-Endpunkt-/Videogerät und der Verwaltungsoberfläche.
Wo lag das Problem? Leider war der Zugriff (über eine Zoom-URL) für den auf dem zoom.us von Cisco gehosteten Zoom Connector ohne Authentifizierung zugänglich.
Problemdetails:
Cisco Webex Devices können über eine Weboberfläche verwaltet werden, die Die Verwaltung von Konfiguration, Status, Protokollen, Sicherheit und Integrationen, wie In-Room-Controls und Makros, ermöglicht. Der Zoom Connector für Cisco hat für jeden im Connector konfigurierten Endpunkt eine gerätespezifische URL erstellt, die auf der Zoom-Website gehostet wird. Über diesen URL wurde über den lokalen API Connector von Zoom der Zugriff auf die Weboberfläche des Geräts ermöglicht, die Cisco-Webseiten so zu ändern, dass sie über die Zoom-URL außerhalb des Kundennetzwerks zugänglich sind.
Leider war diese Zoom-URL von ihrer Website ohne Authentifizierungzugänglich. Zoom stellt außerdem eine Zielseite zur Verfügung, auf der die Zielseite von Cisco einschließlich des Logos und der Marken von Cisco kopiert wurde, um Kunden darüber zu irreführend, dass sie sich auf einer Cisco-Webseite mit Cisco-Sicherheit statt eines öffentlich zugänglichen URL befügen.
Der Zoom Connector für Cisco hat die folgenden kritischen Sicherheitsrisiken erstellt:
Am 19. November2019 veröffentlichte Zoom eine “Fehlerbehebung”, die teilweise die Sicherheitsprobleme behoben und nach weiterer Mitteilung von Cisco eine E-Mail mit unvollständigen Informationen zu den Sicherheitsrisiken für ihre betroffenen Kunden bereitgestellthat.
Bei Cisco Webex-Lösungen arbeiten wir nach sicheren, einfachen und skalierbaren Prinzipien. Im Laufe meiner zehn Jahre in der Softwarebranche habe ich erfahren, dass es niemals akzeptabel ist, Sicherheitsstandards aus Gründen der Einfachheit und Bequemlichkeit zu umgehen. Wenn im Rahmen von Videokonferenzen so viele vertrauliche Daten geteilt werden, wie z. B. die Möglichkeit, die Kamera eines Geräts zu verwenden, muss die Sicherheit von größter Wichtigkeit sein. Das ist das Versprechen, das wir bei Cisco für jeden unserer Kunden sehr geehrte(n) Kunde halten und welche Schritte wir in diesem Punkt unternommen haben:
Wenn Sie ein Kunde sind, der den Zoom Connector für Cisco verwendet, überprüfen Sie Ihre Administrativen Protokolle und analysieren Sie die Nutzung, um zu sehen, ob es infolge der hier beschriebenen Implementierung zu einem Verstoß gegen die Nutzung kam.
Derzeit ist der Zoom Connector für Cisco keine von Cisco unterstützte Lösung, die unsere Sicherheitsstandards auf Unternehmensstufe erfüllt. Unsere unterstützten Lösungen erfüllen die Standards, die unsere Kunden von Cisco erwarten, indem sie unsere gut dokumentierten offenen APIs verwenden.
Sie können ihre Verbindung zu Cisco Webex Devices und Räumen mit Zoom-Meetings weiterhin herstellen, indem Sie standard unterstützte Methoden wie SIP oder unsere XAPI hier dokumentierthaben.
Es ist unser Versprechen, mit jedem unserer Kunden zusammen zu arbeiten, um ihnen die sicherste Konfiguration zu bieten. Wenn Sie weitere Fragen haben psirt@cisco.com oder wenn Sie Hilfe bei der Sicherung Ihrer Persönlichen Cisco Webex Devices, wenden Sie sich bitte jederzeit an Cisco Webex Devices. Wir arbeiten mit jedem Partner zusammen, der unsere APIs verwenden. Wir sind bereit, mit Zoom zu arbeiten, damit sie die unterstützten APIs verwenden und die Lösung über unsere offiziellen Programme zertifiziert bekommen.
Weitere Informationen
Administratoren erreichen mehr mit Webex: Reduzieren Sie die Kosten durch die Integration mit Microsoft IT-Tools und profitieren Sie von nativen Webex-Sicherheitsfunktionen: Bieten Sie die beste Zusammenarbeitserfahrung und sichere vertrauliche Daten mit dem erweiterten Sicherheitspaket Cisco Unified Communications Manager(CUCM) Evolution von Cisco – Ist Ihre Sicherheit am besten?