La nostra attenzione alla sicurezza in un mondo di collaborazione aperto

On By Sri Srinivasan6 Min Read

L’interoperabilità e l’apertura non devono mai essere una differenza con la sicurezza e i nostri utenti non devono ritiene di dover utilizzare uno più degli altri. L’interoperabilità e la sicurezza possono e devono funzionare all’unisono. Di conseguenza, le società software di oggi devono lavorare con alcuni principi fondamentali su come assicurare collettivamente i nostri clienti reciproci.

Cisco ha creato un partner, uno sviluppatore e un’integrazione completa in modo che i nostri clienti hanno la flessibilità e la scelta di super addebitare strumenti e flussi di lavoro con le nostre tecnologie di collaborazione.  Siamo gravi sull’interoperabilità con gli strumenti che amate e utilizzate ogni giorno. Alcuni esempi di attività eseguite in relazione a questo tipo di integrazione includono le integrazioni native con Google, Apple, Microsoft , Slack ealtro.

Tuttavia, questa flessibilità, scelta e interoperabilità devono compromettersi sulla sicurezza e sull’integrità dei dati.

Le integrazioni di collaborazione non supportate potrebbero aumentare il rischio per il cliente. La compatibilità e la sicurezza possono essere difficoltanti e per questo motivo supporteremo solo fornitori di collaborazione di terze parti che soddisfano i nostri standard di sicurezza e che si integrano con i nostri prodotti e servizi attraverso le API aperte supportate.


Connettore zoom per problema Cisco: Interoperabilità tra zoom e dispositivi video Cisco

Cisco è stato notificato di un grave rischio per la sicurezza con il connettore Zoom per Cisco il 31 ottobre2019

e ha seguito il nostro processo ben stabilito per ricercare la causa del problema. Riteniamo che Zoom sia stato notificato anche il 31 ottobre o in base alle informazioni informazioni.  Il 18 novembre , il CISO ha notificato al CISO di Zoom i risultati e ha consigliato l’azione immediata per risolvere tuttii rischi di sicurezza. Condivido i dettagli di questo problema poiché ci impegniamo a proteggere e proteggere i nostri clienti in un ambiente di sicurezza in continua evoluzione.

Il connettore zoom per Cisco, di proprietà e utilizzato da Zoom Video Communications, connette il proprio cloud alla rete interna di un cliente e in particolare a un endpoint/dispositivo video Cisco e alla relativa interfaccia di gestione.


Qual è stato il problema?
Purtroppo, l’accesso (attraverso un URL di zoom) per il connettore zoom per Cisco ospitato su zoom.us era accessibile senza autenticazione.


Dettagli problema:
Cisco Webex Devices possono essere gestite attraverso un’interfaccia Web che consente la gestione di configurazione, stato, registri, sicurezza e integrazioni come controlli in sala e macro. Il connettore zoom per Cisco ha creato un URL specifico del dispositivo ospitato sul sito Web di Zoom per ciascun endpoint configurato nel connettore. Questo URL fornisce l’accesso all’interfaccia Web del dispositivo utilizzando il connettore API locale di Zoom per modificare le pagine Web di Cisco in modo che sia possibile accedere dall’URL dello zoom esterno alla rete del cliente.
Purtroppo, questo URL di zoom fornito dal relativo sito Web era accessibile senzaautenticazione.
Inoltre, Zoom ha fornito una pagina di destinazione che ha copiato la pagina di destinazione di Cisco, inclusi logo e branding di Cisco, clienti fuorvianti in una pagina Web di Cisco con sicurezza Cisco anziché su un URL accessibile al pubblico.

 



Il connettore zoom per Cisco ha creato i seguenti rischi di sicurezza critici:

 

  1. L’URL di zoom non ha richiesto le credenziali. Chiunque sia a conoscenza dell’URL può accedervi da Internet pubblico consentendo l’accesso non autenticato a un dispositivo Cisco Webex configurato e gestito attraverso il connettore Zoom per Cisco. Una volta che una persona ha l’URL, può raggiungere direttamente l’endpoint e controllarlo, inclusa la creazione di una chiamata da tale endpoint per intercettare le riunioni aziendali critiche.

  2. Lo zoom ha esposto Cisco Webex Devices esposizione amministrativa perpetua posizionandosi tra l’utente e l’interfaccia Cisco, modificando la pagina Web di Cisco utilizzando metodi non supportati attraverso un URL di zoom, evitando quindi tutte le modifiche di sicurezza
    Cisco. L’URL di zoom non scade durante il periodo di test. Anche quando l’amministratore dello Zoom ha modificato la password, l’URL di zoom che gestisce il Cisco Webex zoom del dispositivo cambia.
  3. Il collegamento all’URL di zoom non viene revocato se la password di amministrazione dello zoom è stata modificata o in caso di eliminazione di un utente amministrativo zoom. Pertanto, un ex dipendente continuerà ad avere accesso ai dispositivi attraverso il firewall da Internet pubblico, se l’URL dello zoom fosse memorizzato nella cronologia.

Il 19 novembre2019, Zoom ha rilasciato una “correzione ai bug” che hanno parzialmente risolto i problemi di sicurezza e, dopo ulteriori comunicazioni di Cisco, ha fornito un messaggio e-mail con informazioni incomplete sui rischi di sicurezza dei clientiinteressati.


Le nostre promesse ai nostri clienti

In Cisco Webex, siamo in diretta da principi sicuri, semplici e scalabili. Nel mio caso nel settore software, ho appreso che non è mai accettabile scavalcare il controllo di sicurezza per convenienza e semplicità. Inoltre, quando vengono condivisi dati molto sensibili attraverso la videoconferenza, inclusa la possibilità di utilizzare la videocamera di un dispositivo, la sicurezza deve essere di importanza superiore. Questa è la promessea che abbiamo assunto in Cisco per ogni nostro cliente e rappresentate dalle operazioni che abbiamo preso per questo problema:

 

  1. Ogni notifica è notificata, specialmente dai nostri clienti.
  2. Abbiamo coinvolti il Nostro Cisco Product Security Incident Response Team (PSIRT) e Talos Security Intelligence and Research Group (Talos) per ricercare la ricerca su questorischio per la sicurezza. Il team Cisco PSIRT è un team globale dedicato che gestisce la ricevuta, l’analisi e la segnalazione pubblica delle informazioni di vulnerabilità della sicurezza relative a prodotti e reti Cisco. Talos è costituito da società leader nel settore delle minacce supportate da sistemi sofisticati per creare l’analisi delle minacce per i prodotti Cisco. Cisco ha stabilito pratiche per la ricerca e la segnalazione dei problemi di sicurezza (https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html ) e ha stabilito procedure per la ricerca di problemi disicurezza nel settore.
  3. Come indicato in precedenza, questi risultati sono stati condivisi con zoom il 18novembre2019.
  4. Tutti siamo in diretta in un maggiore stato di avviso, pronto ad agire in modo proattivo come e quando notificato. Nel corso degli anni, ciascuno di noi ha avuto i nostri problemi e deve avere bisogno di collaborare in futuro per i nostri clienti reciproci. Apprezziamo l’abilitazione della password dello zoom per questi URL di zoom a partire dal 19novembre 2019. Il primo è un ottimo passo, ma dobbiamo fare in modo che facciano di più. Vorremmo che ci permettesse di eseguire ulteriori operazioni per utilizzare le API supportate e collaborare per certificare la soluzione in modo da assicurare in modo efficace i nostri clienti reciproci.


Chiamata all’azione

Se si è un cliente che utilizza il connettore zoom per Cisco, esaminare i registri amministrativi e analizzare l’utilizzo per vedere se si è verificata una violazione come risultato dell’implementazione descritta qui.

Attualmente, il connettore zoom per Cisco non è una soluzione supportata da Cisco che soddisfa gli standard di sicurezza a livello aziendale. Le nostre soluzioni supportate soddisfano gli standard previsti dai nostri clienti di Cisco utilizzando API aperte ben documentate.

È possibile continuare a fare in modo che Cisco Webex Devices riunioni e sale si connettano alle riunioni zoom utilizzando metodi supportati standard come SIP nonché I nostri XAPI sono documentatiqui.

Ci consente di collaborare con tutti i nostri clienti per fornire loro la configurazione più sicura. Contattaci all’indirizzo psirt@cisco.com in caso di ulteriori domande o per assistenza nella sicurezza delle Cisco Webex Devices. Lavoriamo con ogni partner che utilizza le nostre API. Siamo pronti a lavorare con Zoom per fare in modo che utilizzino le API supportate e certificati la soluzione attraverso i nostri programmi ufficiale.


Ulteriori informazioni

Maggiori risultati con Webex per gli amministratori: Ridurre i costi dell’integrazione con gli Strumenti IT di Microsoft e utilizzare le funzionalità di sicurezza native di Webex per ridurre i costi: Offrire la migliore esperienza di collaborazione e dati sensibili sicuri con il Pacchetto di sicurezza estesa Cisco Cisco Unified Communications Manager sempre disponibile – La sicurezza è all’ora disponibile?

 

 

About The Author

Sri Srinivasan
Sri Srinivasan Senior Vice President and General Manager Cisco
Sri Srinivasan is Senior Vice President and General Manager for Cisco Collaboration.
Learn more

Topics


More like this