相互運用性と開性はセキュリティのトレードオフになる必要はありません。また、当社のユーザーは相互に相互に保護する必要があるとは考える必要はありません。 相互運用性とセキュリティは Unison で機能する必要があります。そしてこれが実現するには、今日のソフトウェア会社が、相互顧客を集合的に保護する方法について、基本的な一部の標準に取り組む必要があります。
Cisco は豊富なパートナー、開発者、およびインテグレーターのエコシステムを作成しました。そのため、お客様は、当社のコラボレーション技術でツールとワークフローをシームレスにスーパー課金する柔軟性と選択を得ることができます。 日にちなみ、愛し、使用するツールとの相互運用性について、当社は非常に深刻な考え方です。 Google、 Apple 、Microsoft 、Slack などのネイティブ インテグレーションなど、この点での作業の一部の例を取り上上記で説明します。
ただし、この柔軟性、選択、相互運用性には、セキュリティとデータの整合性を損なう必要があります。
サポートされていないコラボレーション統合は、顧客のリスクを高める可能性があります。 互換性とセキュリティは難しい場合があります。そして当社のセキュリティ基準を満たす第三者のコラボレーションベンダー、およびサポートされているオープンAPIを通して当社の製品とサービスを統合する第三者のコラボレーションベンダーのみをサポートする理由です。
Cisco の問題の Zoom Connector: Zoom デバイスと Cisco ビデオ デバイス間の相互運用
2019
年10月31日に Zoom Connector for Cisco に重大なセキュリティリスクが発生する通知が届き、この問題を調査するために十分な確立を得た上で実施されました。 Zoom の通知は 10 月 31 日かその件について通知されたと考っています。 11月18日に、当社のCISOは ZoomのCISOに発見を通知し、すべてのセキュリティリスクに対処する即時のアクションを通知しました。 私は、この問題の詳細を共有しています。当社は常に発展するセキュリティ環境における透過性と顧客の保護に取り組み続えています。
Zoom Connector for Cisco は、Zoom Video Communications により所有および運用され、クラウドを顧客の内部ネットワーク、特に Cisco エンドポイント/ビデオ デバイスとその管理インターフェイスに接続します。
どのような問題でしたか? 残念ながら、このアプリでホストされる Cisco 用の Zoom Connector のアクセス (ズーム URL 経由) zoom.us は認証なしでアクセス可能でした。
問題の詳細:
Cisco Webex 音声管理は、構成、ステータス、ログ、セキュリティ、および、部屋内コントロールやマクロなどのインテグレーションの管理を提供するウェブ インターフェイスを通じて管理できます。 Cisco の Zoom Connector は、コネクタで構成された各エンドポイントについて、Zoom ウェブサイトでホストされたデバイス固有の URL を作成しました。 この URL は Zoom のオンプレミス API Connector を使用してデバイスのウェブ インターフェイスへのアクセスを提供し、Cisco Web ページを変更して、顧客のネットワークの外部の Zoom URL からアクセス可能にしました。
残念ながら、彼らのウェブサイトから提供されたこの Zoom URL は認証なしでアクセス可能でした。 さらに、Zoom にはシスコのロゴやブランディングを含む Cisco のランディングページがコピーされたランディングページが提供され、ユーザが一般にアクセスできる URL ではなく、Cisco セキュリティで Cisco ウェブページ上に表示されるという誤解を招く可能性がある。
Cisco の Zoom Connector は、以下の重大な セキュリティリスクを作成しました。
- ズーム URL にサインイン情報は必要でなかった。 URL の知識を持つ人は誰でもパブリック インターネットからアクセスでき、Cisco の Zoom Connector を通して構成され、管理されている Cisco Webex デバイスに認証されていないアクセスが可能です。 ユーザーが URL を持っていたら、エンドポイントに直接到達して制御することができます。例えエンドポイントから重要なビジネスミーティングに盗聴する通話を作成することができます。
ユーザーと Cisco インターフェイスCisco Webex 音声し、ズーム URL を通してサポートされていない方法で Cisco ウェブページを変更することで、非期限の管理的な表示にズームアウトし、Cisco
セキュリティの全一般をバイパスします。 テスト期間中にズーム URL が期限切れでなかった。 ズーム管理者がパスワードを変更した場合でも、ズーム URL はデバイスCisco Webex管理します。- ズーム URL リンクは、[ズーム] 管理 パスワードが変更された場合、またはズーム管理ユーザーの削除時に無効に設定されました。 これにより、ズームURLが履歴に保存されている場合に、元従業員は引き続きパブリックインターネットからファイアウォール経由でデバイスにアクセスすることができます。
Zoom は、2019 年 11 月 19日にセキュリティ問題の一部を解決した「バグフィックス」をリリースし、さらに Cisco からの今後のコミュニケーションの後に、影響を受ける顧客に対してセキュリティリスクに関する不完全な情報を含むメールを提供しました。
お客様への約束
私Cisco Webex、私たちは安全で、シンプルでスケーラブルな理念で生き生きとします。 ソフトウェア業界の過去 10 年、利便性と簡素な目的で、セキュリティの標準を省略することは決して受け入れられないと気が付きました。 また、非常に機密性の高いデータがビデオ会議を通じて共有されている場合には、デバイスカメラの使用機能も含めて、セキュリティが最大限の重要性を示す必要があります。 シスコは、すべてのお客様に対し弊社が開催する約束であり、この問題に取り組む手順に従います。
- 当社では、特に顧客からのすべての通知を重大に受け付えています。
- このセキュリティリスクを調査するために、Cisco Product Security Incident Response Team(PSIRT)と Talos Security Intelligence and Research Group(Talos)に従事しました。 Cisco PSIRT チームは、Cisco 製品とネットワークに関連するセキュリティ脆弱性情報のレシート、調査、およびパブリックレポートを管理する専用のグローバルチームです。 Talos は、Cisco 製品に対する脅威の情報を作成するために、洗練されたシステムによってサポートされている最先端の脅威リサーチ者でなされています。 Cisco はセキュリティ問題の調査と報告(セキュリティ関連)の調査と報告 https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html のプラクティスを確立し、セキュリティ問題の調査において業界と協力しています。
- 以前にもご説明した通り、これらの発見は 2019 年 11 月 18日に Zoom と共有されました。
- 私たちは皆、高い警告状態の中でライブで、通知を受け取った時と積極的に行動する準備ができています。 弊社は何年もの間に独自の問題を持ち、相互顧客のために将来連携する必要があります。 Zoom パスワードによりこれらのズーム URL が 2019 年 11 月 19日に開始されます。 第一歩は良いステップですが、もっと多くのことを行う必要があります。 お客様にはサポートされているAPIを使用するための追加の手順を取って、協力してソリューションの認証を行い、お客様相互の安全性を効果的に確認してくだdさい。
行動呼びかえ
Cisco 用 Zoom Connector を使用しているお客様は、管理ログを確認し、使用状況を分析して、ここに記載された実装の結果、違反が見当たっている場合を確認してください。
現在のところ、Cisco 用の Zoom Connector は、エンタープライズグレードのセキュリティに関する当社の基準を満たす Cisco に対応しているソリューションではありません。 当社のサポートされたソリューションは、当社のドキュメントに記載されたオープン API を使用することで、顧客が Cisco から期待する基準を満たしています。
ここで文書化されている SIP や XAPI のような標準的な方法を使用して、Cisco Webex 音声 および会議室は Zoom Meetings に接続し続けることができます 。
お客様一人一人に最も安全な設定を提供してください。 ご不明な点がござ いました psirt@cisco.com がございましたら、弊社まで電話でお問い合わせくださいCisco Webex 音声。 当社はAPIを使用する全パートナーと責任を持って取り組しています。 サポートされている API を使用して、公式プログラムを通して認証されたソリューションを取得するために、Zoom と作業する準備ができました。
詳細はこちら
Webexでさらに多くの目標を達成できる管理者: Microsoft ITツールとの統合によるコスト削減とWebexネイティブ セキュリティ機能の活用不可能な実行: Cisco の拡張セキュリティパックで、最高のコラボレーションエクスペリエンスと安全な機密データをCisco Unified Communications Managerの発展を実現してください。セキュリティは仕事に対応していますか?