La interoperabilidad y la apertura nunca deben ser una intercambio con la seguridad, y nuestros usuarios no deben pensar que deben sacrificar uno por el otro. La interoperabilidad y la seguridad pueden y deberían funcionar sin ison, y esto requiere que las empresas de software de hoy trabajen con algunas normas básicas sobre la forma en que protegemos colectivamente a nuestros clientes mutuos.
Cisco ha creado un ecosistema de socios, desarrolladores e integradores enriquecidos de modo que nuestros clientes tienen la flexibilidad y la opción de cargar por completo sus herramientas y flujos de trabajo con nuestras tecnologías de colaboración, sin problemas. Se habla en serio de la interoperabilidad con las herramientas que le encantan y usan todos los días. Algunos ejemplos del trabajo que hemos hecho a este respecto incluyen nuestras integraciones nativas con Google, Apple, Microsoft , Slacky más.
Sin embargo, esta flexibilidad, elección e interoperabilidad debe estar sin compromiso en la seguridad y la integridad de los datos.
Las integraciones de colaboración no compatibles podrían aumentar el riesgo para los clientes. La compatibilidad y la seguridad pueden ser difíciles, y es por ello que solo se admitirá a proveedores de colaboración externos que cumplan con nuestros estándares de seguridad y que se integren con nuestros productos y servicios a través de nuestras API abiertas compatibles.
Conector de zoom para el problema de Cisco: Interoperabilidad entre los dispositivos de zoom y vídeo de Cisco
El 31 de octubre de 2019,
se notificó a Cisco acerca de un riesgo grave para la seguridad con el conector de zoom de Cisco y continuamos nuestro proceso bien establecido para investigar el problema. Creemos que también se le había notificado a Zoom el 31 de octubre o acerca de allí. El 18 de noviembre, nuestro CISO notificó alCISO de nuestros hallazgos y aconsejó acciones inmediatas para abordar todos los riesgosde seguridad. Estoy compartiendo los detalles de esta cuestión, ya que estamos comprometidos con la transparencia y con la protección de nuestros clientes en el panorama de seguridad cambiante.
El Conector de zoom de Cisco, propiedad y gestionado por Zoom Video Communications, conecta su nube con una red interna de clientes y específicamente con un dispositivo de extremo/vídeo de Cisco y su interfaz de administración.
¿Cuál fue el problema? Lamentablemente, el acceso (a través de una URL de zoom) para el Conector de zoom para Cisco alojado en zoom.us fue accesible sin autenticación.
Detalles del problema:
Cisco Webex Devices puede administrar a través de una interfaz web que proporciona administración de la configuración, el estado, los registros, la seguridad y de las integraciones, como los controles y las macros en la sala. El Conector de zoom para Cisco creó una URL específica del dispositivo alojada en el sitio web de Zoom para cada extremo configurado en el conector. Esta URL proporcionaba acceso a la interfaz web del dispositivo usando el Conector de API locales de Zoom para modificar las páginas web de Cisco para poder acceder a ellas desde la URL de zoom fuera de la red del cliente.
Lamentablemente, esta URL de zoom proporcionada desde su sitio web fue accesible sin autenticación. Además, Zoom proporcionaba una página de destino en la que se copiaba la página de destino de Cisco, que incluye el logotipo y las marcas de Cisco, clientes erróneas para conseguir que estuvieran en una página web de Cisco con seguridad de Cisco, en lugar de una URL de acceso público.
El Conector de zoom para Cisco creó los siguientes riesgos críticos de seguridad:
- La URL de zoom no requiere credenciales. Cualquier persona con conocimiento de la URL podía acceder a ella desde Internet pública, permitiendo el acceso no autenticado a un dispositivo de Cisco Webex configurado y administrado a través del Conector de zoom para Cisco. Una vez que una persona tenía la URL, podía llegar directamente al extremo y controlarlo, incluso crear una llamada desde ese extremo para abrirse en reuniones empresariales críticas.
Zoom expuesto a Cisco Webex Devices a la exposición administrativa perpetuo entre el usuario y la interfaz de Cisco, modificando la página web de Cisco mediante métodos no compatibles a través de una URL de zoom, y esto omite todas las normas de seguridad de Cisco. La URL del zoom no caduca durante el período de prueba. Incluso cuando el administrador de Zoom cambió la contraseña, la URL de zoom que administra Cisco Webex móvil es posible.- El enlace URL de Zoom no se revocó si se cambió la contraseña de administración de Zoom o si se eliminaba un usuario administrativo de Zoom. Por lo tanto, un exempleado continuará teniendo acceso a los dispositivos a través del firewall desde Internet pública, si tiene la URL del zoom almacenada en su historial.
El 19 de noviembre de2019, Zoom lanzó una «corrección de errores» que abordó parcialmente los problemas de seguridad y, después de más comunicaciones de Cisco, proporcionó un correo electrónico con información incompleta sobre los riesgos de seguridad para los clientesafectados.
Nuestra promesa para nuestros clientes
En Cisco Webex ofrecemos principios seguros, simples y escalables. Durante mis décadas en la industria del software, he descubierto que nunca es aceptable omitir las normas de seguridad por el bien de la comodidad y la simplicidad. Y cuando se comparte tanto información confidencial a través de videoconferencias, incluida la capacidad de usar la cámara de un dispositivo, la seguridad debe tener la mayor importancia. Esta es la promesa que Cisco nos hace mucho por cada uno de nuestros clientes, y como consecuencia de los pasos que cumplimos para este problema:
- Tomamos todas las notificaciones con seriedad, especialmente de nuestros clientes.
- Nos comprometemos con nuestro Equipo de respuesta a incidentes de seguridad del producto de Cisco (PSIRT) y el Grupo de investigación e inteligencia de seguridad (Talos) de Talos para investigar este riesgo de seguridad. El equipo del PSIRT de Cisco es un equipo dedicado y global que gestiona la recepción, la investigación y los informes públicos de información de vulnerabilidad de seguridad relacionados con los productos y las redes de Cisco. Talos está integrado por investigadores líderes en amenazas admitidos por sistemas sofisticados para crear inteligencia sobre amenazas para los productos de Cisco. Cisco cuenta con prácticas bien establecidas para investigar e informar problemas de seguridad (https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html ) y posee la industria parainvestigar los problemas deseguridad.
- Como anoté anteriormente, estos hallazgos se compartieron con Zoom el 18 de noviembrede 2019.
- Todos estamos en un estado de alerta mayor, listo para actuar de forma dinámica tanto como cuando se lo notifique. Cada uno de nosotros ha tenido, con el paso del años, nuestros propios problemas y necesitan mejorar en el futuro por el bien de nuestros clientes mutuos. Agradecemos la habilitación de la contraseña de Zoom para habilitar estas direcciones URL de zoom a partir del 19 denoviembre de 2019. Es un buen primer paso, pero necesitamos que hagan más. Nos gustaría que tomaran pasos adicionales para utilizar nuestras API compatibles y trabajar con nosotros para certificar la solución y así poder asegurar a nuestros clientes mutuos en forma efectiva.
Llamada a acción
Si es un cliente que está utilizando el conector de zoom para Cisco, revise sus registros administrativos y analice el uso para ver si hubo incumplimientos como resultado de la implementación que se describe aquí.
Actualmente, el Conector de zoom para Cisco no es una solución compatible con Cisco que cumpla con nuestros estándares de seguridad empresarial. Nuestras soluciones compatibles cumplen con los estándares que nuestros clientes esperan de Cisco al utilizar nuestras API abiertas bien documentadas.
Puede continuar haciendo que su Cisco Webex Devices y las salas se conecten a las reuniones mediante el uso de métodos estándares compatibles como SIP, o nuestros XAPI aquí documentados.
Nuestra promesa es trabajar con cada uno de nuestros clientes para ofrecerles la configuración más segura. Comuníquese con nosotros al psirt@cisco.com si tiene más preguntas o si necesita que nos ayude a asegurar su Cisco Webex Devices. Trabajamos con todos los socios que usan nuestras API de manera responsable. Estamos listos para trabajar con Zoom, para que usen las API compatibles y obtengan la certificación de la solución a través de nuestros programas oficiales.
Obtenga más información
Los administradores logran más con Webex: Reduzca los costos mediante la integración con las herramientas de IT de Microsoft y disfrute las capacidades nativas de seguridad de Webex hacer lo imposible: Ofrezca la mejor experiencia de colaboración y datos confidenciales seguros con el Extended Security Pack Cisco Unified Communications Manager Evolution de Cisco: ¿Su seguridad está al día con su trabajo?