Notre attention sur la sécurité dans un monde de collaboration ouvert

On By Sri Srinivasan7 Min Read

L’interopérabilité et l’ouverture ne doivent jamais être un compromis avec la sécurité et nos utilisateurs ne devraient pas croire qu’ils doivent s’échanger les uns avec les autres. L’interopérabilité et la sécurité peuvent et doivent fonctionner à l’interopérabilité, ce qui nécessite que les sociétés de logiciels d’aujourd’hui travaillent avec quelques bases sur la façon dont nous sécurisons collectivement nos clients mutuels.

Cisco a créé un environnement riche de partenaires, développeurs et intégrateurs, de sorte que nos clients ont la flexibilité et le choix de super charger leurs outils et workflows avec nos technologies de collaboration, sans problème.  Nous sommes sérieux concernant l’interopérabilité des outils que vous aimez et que vous utilisez au quotidien. Certains exemples du travail que nous avons effectué à ce sujet incluent nos intégrations d’origine avec Google , Apple , Microsoft , Slack et plus encore.

Toutefois, cette flexibilité, choix et interopérabilité ne doivent avoir aucun compromis sur la sécurité et l’intégrité des données.

Les intégrations de collaboration non pris en cours peuvent augmenter le risque pour les clients. La compatibilité et la sécurité peuvent être un défi, c’est pourquoi nous allons prendre en charge uniquement les fournisseurs de collaboration tiers qui répondent à nos normes de sécurité et qui s’intègrent à nos produits et services via nos API ouvertes supportées.


Zoom connector pour le problème Cisco : Interop entre zoom et périphériques vidéo Cisco

Cisco a été avertie d’un risque sérieux de sécurité avec le connecteur Zoom pour Cisco le 31 octobre2019

et a suivi notre processus bien établi pour enquêter sur le problème. Nous pensons que Zoom a également été averti le 31 octobre.  Le 18 novembre , notre ciSO a informél’équipe CISO de ses résultats et a recommandé une action immédiate pour répondre à tous les risques liés àla sécurité. Je partage les détails de ce problème car nous nous engageons à préserver la transparence et la protection de nos clients dans le paysage de sécurité qui change constamment.

Le connecteur Zoom pour Cisco, propriétaire et opérateur de Zoom Video Communications, connecte leur cloud à un réseau interne client et en particulier un point de terminaison/périphérique vidéo Cisco et son interface de gestion.


Quel était le problème ?
Malheureusement, l’accès (via une URL zoom) pour le connecteur Zoom de Cisco hébergé sur zoom.us était accessible sans authentification.


Détails sur les problèmes :
Périphériques Cisco Webex peuvent être gérées via une interface Web qui fournit la gestion de la configuration, du statut, des journaux, de la sécurité et des intégrations telles que les commandes et les macros dans la salle. Le connecteur Zoom pour Cisco a créé une URL spécifique au périphérique hébergée sur le site Web Zoom pour chaque point de destination configuré dans le connecteur. Cette URL a fourni l’accès à l’interface Web du périphérique en utilisant le connecteur API sur site de Zoom pour modifier les pages Web Cisco afin qu’ils soient accessibles à partir de l’URL Zoom à l’extérieur du réseau du client.
Malheureusement, cette URL Zoom fournie à partir de leur site Web était accessible sans authentification.
En outre, Zoom a fourni une page d’accueil qui copie la page d’accueil de Cisco, y compris le logo et les marques, les clients erronés dans une page Web Cisco avec sécurité Cisco, plutôt que d’une URL accessible publiquement.

 



Le connecteur Zoom pour Cisco a créé les risques critiques de sécurité suivants :

 

  1. L’URL du Zoom ne nécessite pas de identifiants. Toute personne ayant une connaissance de l’URL pouvait y accéder à partir de l’Internet public, permettant l’accès non authentifié à un périphérique Cisco Webex configuré et géré via le connecteur Zoom pour Cisco. Une fois qu’une personne a eu l’URL, elle pouvait atteindre le point de destination directement et la contrôler, incluant la création d’un appel à partir de ce point de destination pour écouter les réunions professionnelles critiques.

  2. Zoom exposé Périphériques Cisco Webex à une exposition administrative permanente en se plaçant entre l’utilisateur et l’interface Cisco, en modifiant la page Web Cisco en utilisant des méthodes non pris en charge via une URL De Zoom, en contournant tous les logiciels de sécurité
    Cisco. L’URL du zoom n’a pas expiré au cours de notre période de test. Même lorsque l’administrateur Zoom a changé son mot de passe, l’URL de zoom gérant le périphérique Cisco Webex prise en charge.
  3. Le lien url du Zoom n’était pas révoqué si le mot de passe de l’administration Zoom était

    changé ou lors de la suppression d’un utilisateur administratif Zoom. Ainsi, un ex-employé continuerait d’avoir accès aux périphériques via le pare-feu à partir de l’Internet public, s’ils avaient conservé l’URL du Zoom dans leur historique.

Le 19 novembre2019, Zoom a publié un « correctif de bogue » qui a partiellement résolu les problèmes de sécurité et, après toute communication de Cisco, a envoyé un courrier électronique avec des informations incomplètes sur les risques liés à la sécurité pour leurs clientsconcernés.


Notre promesse aux clients

En Cisco Webex, nous entretenons des principes sécurisés, simples et évolutifs. Au cours de mes années dans le secteur du logiciel, j’ai appris qu’il n’est jamais acceptable de passer outre les questions de sécurité pour raison de commodité et de simplicité. Et lorsque tant de données sensibles sont partagées via la conférence vidéo, incluant la possibilité d’utiliser la caméra d’un périphérique, la sécurité doit être de toute importance. C’est la promesse que nous tenez chèrement à Cisco pour chacun de nos clients, et qui est incorporée par les étapes que nous avons prises pour ce problème :

 

  1. Nous prenons chaque notification au sérieux, en particulier de nos clients.
  2. Nous avons engagé notre Équipe de réponse aux incidents de sécurité du produit Cisco (PRODUCT Security Response Team /PSIRT) et leTalos Security Intelligence and Research Group (Talos) pour enquêter sur ce risque de sécurité. L’équipe Cisco PSIRT est une équipe mondiale dédiée qui gère la réception, la recherche et la reporting public des informations de vulnérabilité de sécurité liées aux produits et réseaux Cisco. Talos est fait de chercheurs leader des menaces pris en charge par des systèmes sophistiqués pour créer de l’intelligence informatique pour les produits Cisco. Cisco a des pratiques bien établies pour enquêter et signaler les problèmes de sécurité (https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html ), et s’collabore avec le secteur pour la recherche desproblèmes de sécurité.
  3. Comme je l’ai noté précédemment, ces résultats ont été partagés avec Zoom le 18novembre 2019.
  4. Nous avons tous un état d’alerte accrue, prêt à agir de manière proactive dès qu’il en sera informé. Au fil des années, chacun d’entre nous a eu ses propres problèmes et doit se rendre à l’avenir pour l’bien de nos clients mutuels. Nous apprécions l’activation du mot de passe Zoom pour activer ces URL Zoom à partir du 19 novembre2019. C’est une bonne première étape, mais nous en avons besoin pour qu’ils font plus. Nous aimerions qu’ils prennent des mesures supplémentaires pour utiliser nos API prises en charge et travailler avec nous pour certifier la solution afin que nous pouvons sécuriser efficacement nos clients mutuels.


Appel à agir

Si vous êtes un client qui utilise le connecteur Zoom pour Cisco, veuillez consulter vos journaux administratifs et analyser l’utilisation pour voir s’il y a eu une violation suite à la procédure d’implémentation décrite ici.

Actuellement, le Connecteur Zoom pour Cisco n’est pas une solution Cisco prise en charge qui répond à nos normes de sécurité au niveau de l’entreprise. Nos solutions supportées répondent aux normes que nos clients attendent de Cisco en utilisant nos API ouvertes bien documentées.

Vous pouvez continuer à que vos Périphériques Cisco Webex et salles se connectent aux réunions Zoom à l’aide de méthodes standard telles que SIP, ainsi que de nos XAPI documentées ici.

Nous vous promettons de travailler avec chacun de nos clients pour leur fournir la configuration la plus sécurisée. Veuillez nous contacter au psirt@cisco.com si vous avez d’autres questions ou si vous avez besoin de nous pour faciliter la sécurité de Périphériques Cisco Webex. Nous travaillons avec chaque partenaire qui utilise nos API. Nous sommes prêts à travailler avec Zoom, afin qu’ils utilisent les API supportées et que la solution soit certifiée via nos programmes officiels.


En savoir plus :

Les administrateurs atteignent davantage de objectifs avec Webex : Réduisez les coûts de l’intégration avec les outils informatiques Microsoft et profitez des fonctions de sécurité d’origine de Webex : Offrez la meilleure expérience de collaboration et les données sensibles sécurisées avec le Pack de sécurité étendu de Cisco Cisco Unified Communications Manager Evolution — Votre sécurité est-elle à votre niveau de sécurité ?

 

 

About The Author

Sri Srinivasan
Sri Srinivasan Senior Vice President and General Manager Cisco
Sri Srinivasan is Senior Vice President and General Manager for Cisco Collaboration.
Learn more

Topics


More like this