Interoperabilität und Offenheit dürfen kein Handels mit Sicherheit sein, und unsere Nutzer dürfen nicht der Ansicht sein, sie sollten einander über den anderen übertinnen. Interoperabilität und Sicherheit können und sollten unerniert funktionieren. Dazu müssen die Software-Unternehmen von heute mit einigen grundlegenden Standards zusammenarbeiten, wie wir unsere gemeinsamen Kunden gemeinsam sichern.
Cisco hat ein umfangreiches Partner-, Entwickler- und Integrator-System entwickelt, sodass unsere Kunden nahtlos die Flexibilität und Wahlmöglichkeit haben, ihre Tools und Workflows mit unseren Zusammenarbeitstechnologien zu über gebühren. Wir setzen uns mit der Interoperabilität mit den Tools, die Sie lieben und von täglich nutzen, aus. Hier sind einige Beispiele für unsere Arbeit, die wir in dieser Hinsicht durchgeführt haben, unsere nativen Integrationen mit Google, Apple, Microsoft, Slack und mehr.
Diese Flexibilität, Auswahl und Interoperabilität muss jedoch in Denklos in Zusammenhang mit Sicherheit und Datenintegrität kommen.
Nicht unterstützte Integrationen bei der Zusammenarbeit können zu erhöhtem Kundenrisiko führen. Kompatibilität und Sicherheit können schwierig sein, und deshalb werden wir nur Drittanbieter unterstützen, die unsere Sicherheitsstandards erfüllen und die sich über unsere unterstützten offenen APIs in unsere Produkte und Dienstleistungen integrieren.
Zoom Connector für Cisco Problem: Wechsel zwischen Zoom- und Cisco Videogeräten
Cisco wurde am 31. Oktober2019
über ein schwerwiegendes Sicherheitsrisiko mit dem Zoom Connector für Cisco benachrichtigt und hat unseren bekannten Prozess zur Untersuchung des Problems befolgt. Wir glauben, dass auch Zoom am 31. Oktober bzw. dort informiert wurde. Am 18. November hat unser CISO die CISO von Zoom über unsere Ergebnisse benachrichtigt und sofortige Maßnahmen zur Benachrichtigung allerSicherheitsrisiken empfohlen. Da wir uns zur Transparenz und zum Schutz unserer Kunden in den sich ständig ändernden Sicherheitslandschaften verpflichtet haben, sind wir über details zu diesem Thema im Detail erfahren.
Der Zoom Connector für Cisco, der Eigentümer und Anbieter von Zoom Video Communications ist, verbindet die Cloud mit dem internen Netzwerk eines Kunden und insbesondere mit einem Cisco-Endpunkt-/Videogerät und der Verwaltungsoberfläche.
Wo lag das Problem? Leider war der Zugriff (über eine Zoom-URL) für den auf dem zoom.us von Cisco gehosteten Zoom Connector ohne Authentifizierung zugänglich.
Problemdetails:
Cisco Webex Devices können über eine Weboberfläche verwaltet werden, die Die Verwaltung von Konfiguration, Status, Protokollen, Sicherheit und Integrationen, wie In-Room-Controls und Makros, ermöglicht. Der Zoom Connector für Cisco hat für jeden im Connector konfigurierten Endpunkt eine gerätespezifische URL erstellt, die auf der Zoom-Website gehostet wird. Über diesen URL wurde über den lokalen API Connector von Zoom der Zugriff auf die Weboberfläche des Geräts ermöglicht, die Cisco-Webseiten so zu ändern, dass sie über die Zoom-URL außerhalb des Kundennetzwerks zugänglich sind.
Leider war diese Zoom-URL von ihrer Website ohne Authentifizierungzugänglich. Zoom stellt außerdem eine Zielseite zur Verfügung, auf der die Zielseite von Cisco einschließlich des Logos und der Marken von Cisco kopiert wurde, um Kunden darüber zu irreführend, dass sie sich auf einer Cisco-Webseite mit Cisco-Sicherheit statt eines öffentlich zugänglichen URL befügen.
Der Zoom Connector für Cisco hat die folgenden kritischen Sicherheitsrisiken erstellt:
- Für die Zoom-URL waren keine Anmeldedatenerforderlich. Jeder, der diesen URL bekannt ist, konnte über das öffentliche Internet darauf zugreifen und so einen nicht authentifizierten Zugriff auf ein Cisco Webex-Gerät ermöglichen, das über den Zoom Connector für Cisco konfiguriert und verwaltet wird. Sobald eine Person den URL hatte, konnte sie den Endpunkt direkt erreichen und steuern, einschließlich der Erstellung eines Anrufs von diesem Endpunkt zum Abhören bei wichtigen geschäftlichen Meetings.
Zoomen Sie Cisco Webex Devices permanenter administrativen Belichtung ausgesetzt, indem Sie sich zwischen dem Benutzer und der Cisco-Oberfläche platzieren und die Cisco-Webseite mit nicht unterstützten Methoden über eine Zoom-URL ändern und somit alle Cisco Sicherheits-Standards umgehen. Die Zoom-URL ist während des Testzeitraums nicht abgelaufen. Selbst wenn der Zoom-Administrator sein Passwort geändert hat, hat die Zoom-URL die Verwaltung des Cisco Webex-Geräts weiter ausgeführt.- Der Zoom-URL-Link wurde nicht widerrufen, wenn das Zoom-Administrationspasswort geändert wurde oder wenn ein administrativer Zoom-Benutzer gelöscht wurde. Ein Ex-Mitarbeiter hat dann weiterhin Zugriff auf die Geräte über die Firewall über das öffentliche Internet, wenn die Zoom-URL im Verlauf gespeichert ist.
Am 19. November2019 veröffentlichte Zoom eine „Fehlerbehebung“, die teilweise die Sicherheitsprobleme behoben und nach weiterer Mitteilung von Cisco eine E-Mail mit unvollständigen Informationen zu den Sicherheitsrisiken für ihre betroffenen Kunden bereitgestellthat.
Unser Versprechen an unsere Kunden
Bei Cisco Webex-Lösungen arbeiten wir nach sicheren, einfachen und skalierbaren Prinzipien. Im Laufe meiner zehn Jahre in der Softwarebranche habe ich erfahren, dass es niemals akzeptabel ist, Sicherheitsstandards aus Gründen der Einfachheit und Bequemlichkeit zu umgehen. Wenn im Rahmen von Videokonferenzen so viele vertrauliche Daten geteilt werden, wie z. B. die Möglichkeit, die Kamera eines Geräts zu verwenden, muss die Sicherheit von größter Wichtigkeit sein. Das ist das Versprechen, das wir bei Cisco für jeden unserer Kunden sehr geehrte(n) Kunde halten und welche Schritte wir in diesem Punkt unternommen haben:
- Wir nehmen jede Benachrichtigung sehr ernst, insbesondere von unseren Kunden.
- Wir haben unser Cisco Product Security Incident Response Team (PSIRT) und die Talos Security Intelligence and Research Group (Talos) mit der Untersuchung diesesSicherheitsrisikos beschäftigt. Das Cisco PSIRT-Team ist ein spezielles, globales Team, das den Erhalt, die Untersuchung und die öffentliche Berichterstattung über Sicherheitslücken in Bezug auf Cisco-Produkte und -Netzwerke verwaltet. Talos besteht aus führenden Bedrohungsexperten, die von ausgefeilten Systemen unterstützt werden, um Bedrohungsnachrichten für Cisco-Produkte zu erstellen. Cisco hat bewährte Vorgehensweisen für die Untersuchung und Berichterstellung von Sicherheitsproblemen (https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html ) und die Branche zur Untersuchungvon Sicherheitsproblemen eingesetzt.
- Wie zuvor bereits erwähnt, wurden diese Ergebnisse am 18. November2019 mit Zoom geteilt.
- Wir sind alle in einem auf dem Alarmstatus, der bereit ist, proaktiv zu handeln, wenn sie benachrichtigt werden. Jeder von uns hatte im Laufe der Jahre unsere eigenen Probleme und muss für die Zukunft aus Sicherheitsgründen unsere gemeinsamen Kunden aus dem Weg führen. Wir wissen zu schätzen, dass Sie diese Zoom-URLs ab dem 19. November2019 aktivieren. Dies ist ein guter erster Schritt, aber wir müssen mehr tun. Wir möchten, dass sie zusätzliche Schritte unternehmen, um unsere unterstützten APIs zu verwenden, und arbeiten sie mit uns zusammen, um die Lösung zu bescheinigen, damit wir unsere mutual Kunden effektiv sichern können.
Anruf zu Aktion
Wenn Sie ein Kunde sind, der den Zoom Connector für Cisco verwendet, überprüfen Sie Ihre Administrativen Protokolle und analysieren Sie die Nutzung, um zu sehen, ob es infolge der hier beschriebenen Implementierung zu einem Verstoß gegen die Nutzung kam.
Derzeit ist der Zoom Connector für Cisco keine von Cisco unterstützte Lösung, die unsere Sicherheitsstandards auf Unternehmensstufe erfüllt. Unsere unterstützten Lösungen erfüllen die Standards, die unsere Kunden von Cisco erwarten, indem sie unsere gut dokumentierten offenen APIs verwenden.
Sie können ihre Verbindung zu Cisco Webex Devices und Räumen mit Zoom-Meetings weiterhin herstellen, indem Sie standard unterstützte Methoden wie SIP oder unsere XAPI hier dokumentierthaben.
Es ist unser Versprechen, mit jedem unserer Kunden zusammen zu arbeiten, um ihnen die sicherste Konfiguration zu bieten. Wenn Sie weitere Fragen haben psirt@cisco.com oder wenn Sie Hilfe bei der Sicherung Ihrer Persönlichen Cisco Webex Devices, wenden Sie sich bitte jederzeit an Cisco Webex Devices. Wir arbeiten mit jedem Partner zusammen, der unsere APIs verwenden. Wir sind bereit, mit Zoom zu arbeiten, damit sie die unterstützten APIs verwenden und die Lösung über unsere offiziellen Programme zertifiziert bekommen.
Weitere Informationen
Administratoren erreichen mehr mit Webex: Reduzieren Sie die Kosten durch die Integration mit Microsoft IT-Tools und profitieren Sie von nativen Webex-Sicherheitsfunktionen: Bieten Sie die beste Zusammenarbeitserfahrung und sichere vertrauliche Daten mit dem erweiterten Sicherheitspaket Cisco Unified Communications Manager(CUCM) Evolution von Cisco – Ist Ihre Sicherheit am besten?