상호 운영성과 개방성은 보안과의 상거래가 아니며, 사용자들이 서로의 협력을 강화해야 한다고 생각하지 말아야 합니다. 상호운용과 보안은 함께 작동할 수 있으며 이를 위해서는 오늘날 소프트웨어 회사들이 상호 고객을 공동으로 보호하는 방법에 대한 일부 기본 규명을 작동해야 합니다.
Cisco는 풍부한 파트너, 개발자 및 통합자 에코시스템을 생성했습니다. 따라서 고객은 협업 테크놀로지로 도구 및 작업 흐름을 최고 부가할 수 있는 유연성과 선택을 원활하게 할 수 있습니다. 매일 사용하는 도구와의 상호 협력은 심각한 문제입니다. 이와 관련하여 완료 한 작업의 예제에는 Google, Apple, Microsoft, Slack과의 네이티브 통합이 포함됩니다.
그러나 이러한 유연성, 선택 및 상호 협력은 보안 및 데이터 완전성에 아무 지장도 안 되어야 합니다.
지원되지 않는 협업 통합은 고객 위험을 증가할 수도 있습니다. 호환성과 보안은 어려울 수 있으며, 이것은 보안 표준을 충족하고 지원되는 오픈 API를 통해 제품 및 서비스에 통합하는 제3자 협업 벤더만 지원하게 됩니다.
Cisco 문제용 줌 커넥터: 확대/축소 및 Cisco 비디오 장치 간의 상호 연계
Cisco는 2019년 10월 31일, Cisco 용 Zoom Connector를 사용하여 심각한 보안 위험에 대해 알림을 들이고, 이 문제를 조사하기 위해 잘 준비된 프로세스를 따랐습니다. 10월 31일 또는 그에 따라 확대된 알림을 보게 된 것으로 생각됩니다. 11월 18일, CISO는 줌의 CISO에 조사 결과를 통보하고 모든 보안 위험을 해결하기 위한 즉각적인 조치를 권고했습니다. 저희는 투명성을 약속하고 계속 발전하는 보안 환경의 고객을 보호하기 위해 이 문제의 세부 사항을 공유하고 있습니다.
비디오 확대/축소 통신에서 소유하고 운영하는 Cisco에 대해 줌 커넥터는 고객의 내부 네트워크, 특히 Cisco 엔드포인트/비디오 장치 및 관리 인터페이스에 클라우드를 연결합니다.
어떤 문제가 있습니까? 안타깝게도 100일에서 호스트된 Cisco용 확대/축소 커넥터에 대한 액세스(확대/축소 URL)zoom.us 없이 액세스할 수 있습니다.
문제 세부 사항:
Cisco Webex Devices 구성, 상태, 로그, 보안 및 룸 내 제어 및 매크로 등의 통합의 관리를 제공하는 웹 인터페이스를 통해 관리될 수 있습니다. Cisco에 대해 확대/축소 커넥터는 커넥터에 구성된 각 종료점에 대해 확대/축소 웹사이트에서 호스트되는 장치 특정 URL을 생성했습니다. 이 URL은 확대/축소의 On-프레미스 API Connector를 사용하여 Cisco 웹 페이지를 수정하여 장치의 웹 인터페이스에 액세스할 수 있도록 하여 고객의 네트워크 외부에서 확대 URL에 액세스할 수 있도록 합니다.
안타깝게도 웹사이트에서 제공된 이 확대/축소 URL은 인증하지 않고 액세스할 수 있습니다. 또한 확대/축소는 Cisco의 로고 및 브랜디드를 포함하여 Cisco의 랜들 페이지를 복사한 랜들 페이지를 제공하고, 고객이 공개적으로 액세스할 수 있는 URL이 아닌 Cisco 보안이 있는 Cisco 웹 페이지에 방문하고 있는 것으로 잘못 생각하게 합니다.
Cisco에 대해 줌 커넥터는 다음 심각한 보안 위험을 생성했습니다 .
- 확대 /축소 URL에 자격 증명이 필요하지 않습니다. URL에 대한 지식이 있는 모든 사람은 공용 인터넷에서 액세스할 수 있으며, 이는 Cisco의 확대/축소 커넥터를 통해 Cisco Webex 장치로의 비인식 액세스를 허용합니다. 일단 사용자가 URL을 사용할 수 있을 때 해당 엔드포인트에서 중요한 비즈니스 미팅에 액세스하기 위한 통화를 만드는 것을 포함하여 엔드포인트에 직접 연결하고 제어할 수 있습니다.
확대/축소 Cisco Webex Devices 사용자와 Cisco 인터페이스 사이에 직접 배치하고 배정 URL을 통해 지원되지 않는 방법을 사용하여 Cisco 웹 페이지를 수정함으로써, 모든 Cisco 보안 규약을 무시하는 방법으로, 관대한 관리 노출을 최소화할 수 있습니다. 테스트 기간 중에 확대/축소 URL이 만료되지 않습니다. 확대/축소 관리자가 비밀번호를 변경한 경우에도 Cisco Webex URL은 실시간입니다.- 확대 /축소 관리 비밀번호가 변경되거나 관리 사용자를 확대하는 경우, 확대/축소 URL 링크는 해지되지 않습니다. 따라서 직원의 내역에 확대/축소 URL이 저장된 경우, 전 직원은 공용 인터넷에서 방화벽을 통해 장치에 계속 액세스할 수 있습니다.
2019년 11월 19일, Zoom는 보안 문제를 부분적으로 수정하는 “버그 수정”을 발표했습니다. Cisco로부터 추가 통신을 통해 영향을 받는 고객에게 보안 위험에 대한 정보가 미완성인 이메일을 제공했습니다.
고객에게 약속합니다.
우리는 Cisco Webex 간단하고 확장 가능한 원칙에 따라 생활합니다. 소프트웨어 업계에서 지난 20년간의 보안 규명을 무시하는 것은 편리하고 단순함을 보장하는 것은 결코 허용할 수 없는 사실입니다. 또한 장치의 카메라 사용 기능을 포함하여 매우 민감한 데이터가 비디오 회의를 통해 공유되고 있을 때 보안은 가장 중요해야 합니다. 이는 Cisco가 모든 고객을 위해 보류할 것을 약속하며, 이 문제를 위해 취하는 단계를 따르고 있습니다.
- 특히 고객으로부터의 모든 통지는 매우 소중하게 수신합니다.
- 이 보안 위험을 조사하기 위해 Cisco Product Security Incident Response Team(PSIRT)및 Talos Security Intelligence and Research Group (Talos)에 참여시작하고 있습니다. Cisco PSIRT 팀은 Cisco 제품 및 네트워크와 관련된 보안 취약점 정보의 영수증, 조사 및 공개 보고서를 관리하는 전 세계적 팀입니다. Talos는 Cisco 제품에 대한 위협적인 인텔리전스를 만들기 위해 정교한 시스템이 지원하는 선두의 위협적인 연구로 구성됩니다. Cisco는 보안 문제조사 및 보고(https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html), 보안 문제 조사에 대해 업계와 협력할 수 있는 사례를 잘 실행해 왔다.
- 이전에 언급한 바에 따라 해당 결과는 2019년 11월 18일 확대와 공유했습니다.
- 모든 은(는) 경고의 높이가 높아진 상태로, 사전 통보를 하게 하여 사전 예방적으로 행동할 준비가 되어 있습니다. 우리 각 는 수년 동안 우리 자신만의 문제를 가지고 있으며, 향후 상호 고객을 위한 공동 협력이 필요합니다. 2019년 11월 19일부터 이 확대/축소 URL을 활성화하는 데 감사드립니다. 첫 번째 단계로 좋은 단계이지만, 추가해야 할 필요가 있습니다. 당사는 지원되는 API를 사용하기 위한 추가 단계를 거치고, 저희와 협력하여 솔루션에 인증을 하여 상호 고객을 효과적으로 보호할 수 있도록 의논하고 있습니다.
행동 전화 걸기
귀하가 Cisco에 대해 확대/축소 커넥터를 사용하는 고객인 경우, 관리 로그를 리뷰하고 사용을 분석하여 여기에 설명된 실행 결과로 위반이 없는지십시오.
현재 Cisco에 대한 Zoom Connector는 기업 등급 보안의 표준을 충족하는 Cisco가 지원하는 솔루션이 아닙니다. 지원되는 솔루션은 잘 문서화된 오픈 API를 사용하여 고객이 Cisco에서 기대하는 표준을 충족합니다.
여기에서 문서화된 SIP 및 Cisco Webex Devices 표준 지원되는 방법을 사용하여 Cisco Webex Devices 및 회의실이 확대 미팅에 연결하게 계속할 수 있습니다.
가장 안전한 구성을 제공하기 위해 각 고객과 작업할 것을 약속합니다. 추가 질문이 psirt@cisco.com 귀하의 보안에 도움이 필요하면 저희에게 연락하여 Cisco Webex Devices. 저희는 API를 사용하는 모든 파트너와 작업하고 있습니다. 저희는 지원되는 API를 사용할 수 있도록 확대 작업할 준비가 된 후 공식 프로그램을 통해 인증된 솔루션을 사용할 수 있습니다.
자세한 내용
Webex를 통해 관리자가 더 많은 성과를 달성: Microsoft IT 도구와 통합하여 비용을 절감하고 Webex 네이티브 보안 기능을 활용 하십시오.불가능: Cisco 의 확장된 보안 팩으로 최고의 협업 환경 및 보안 민감한 데이터를 전달하십시오Cisco Unified Communications Manager 진화— 작업이 최대화되는 보안입니까?