Tags: Cisco 보안, Cisco 블로그, Cisco 제품 보안 문제 응답 팀 (PSIRT), Zoom, 보안, 보안 문제 보고, 보안 및 상호 협력성, 비디오 회의 기술, 비디오 회의를 통한 민감한 데이터, 준수, 지원되지 않는 협업 통합은 고객 위험 증가로 이어지기, 협업
상호 운영성과 개방성은 보안과의 상거래가 아니며, 사용자들이 서로의 협력을 강화해야 한다고 생각하지 말아야 합니다. 상호운용과 보안은 함께 작동할 수 있으며 이를 위해서는 오늘날 소프트웨어 회사들이 상호 고객을 공동으로 보호하는 방법에 대한 일부 기본 규명을 작동해야 합니다.
Cisco는 풍부한 파트너, 개발자 및 통합자 에코시스템을 생성했습니다. 따라서 고객은 협업 테크놀로지로 도구 및 작업 흐름을 최고 부가할 수 있는 유연성과 선택을 원활하게 할 수 있습니다. 매일 사용하는 도구와의 상호 협력은 심각한 문제입니다. 이와 관련하여 완료 한 작업의 예제에는 Google, Apple, Microsoft, Slack과의 네이티브 통합이 포함됩니다.
그러나 이러한 유연성, 선택 및 상호 협력은 보안 및 데이터 완전성에 아무 지장도 안 되어야 합니다.
지원되지 않는 협업 통합은 고객 위험을 증가할 수도 있습니다. 호환성과 보안은 어려울 수 있으며, 이것은 보안 표준을 충족하고 지원되는 오픈 API를 통해 제품 및 서비스에 통합하는 제3자 협업 벤더만 지원하게 됩니다.
Cisco는 2019년 10월 31일, Cisco 용 Zoom Connector를 사용하여 심각한 보안 위험에 대해 알림을 들이고, 이 문제를 조사하기 위해 잘 준비된 프로세스를 따랐습니다. 10월 31일 또는 그에 따라 확대된 알림을 보게 된 것으로 생각됩니다. 11월 18일, CISO는 줌의 CISO에 조사 결과를 통보하고 모든 보안 위험을 해결하기 위한 즉각적인 조치를 권고했습니다. 저희는 투명성을 약속하고 계속 발전하는 보안 환경의 고객을 보호하기 위해 이 문제의 세부 사항을 공유하고 있습니다.
비디오 확대/축소 통신에서 소유하고 운영하는 Cisco에 대해 줌 커넥터는 고객의 내부 네트워크, 특히 Cisco 엔드포인트/비디오 장치 및 관리 인터페이스에 클라우드를 연결합니다.
어떤 문제가 있습니까? 안타깝게도 100일에서 호스트된 Cisco용 확대/축소 커넥터에 대한 액세스(확대/축소 URL)zoom.us 없이 액세스할 수 있습니다.
문제 세부 사항:
Cisco Webex Devices 구성, 상태, 로그, 보안 및 룸 내 제어 및 매크로 등의 통합의 관리를 제공하는 웹 인터페이스를 통해 관리될 수 있습니다. Cisco에 대해 확대/축소 커넥터는 커넥터에 구성된 각 종료점에 대해 확대/축소 웹사이트에서 호스트되는 장치 특정 URL을 생성했습니다. 이 URL은 확대/축소의 On-프레미스 API Connector를 사용하여 Cisco 웹 페이지를 수정하여 장치의 웹 인터페이스에 액세스할 수 있도록 하여 고객의 네트워크 외부에서 확대 URL에 액세스할 수 있도록 합니다.
안타깝게도 웹사이트에서 제공된 이 확대/축소 URL은 인증하지 않고 액세스할 수 있습니다. 또한 확대/축소는 Cisco의 로고 및 브랜디드를 포함하여 Cisco의 랜들 페이지를 복사한 랜들 페이지를 제공하고, 고객이 공개적으로 액세스할 수 있는 URL이 아닌 Cisco 보안이 있는 Cisco 웹 페이지에 방문하고 있는 것으로 잘못 생각하게 합니다.
Cisco에 대해 줌 커넥터는 다음 심각한 보안 위험을 생성했습니다 .
2019년 11월 19일, Zoom는 보안 문제를 부분적으로 수정하는 “버그 수정”을 발표했습니다. Cisco로부터 추가 통신을 통해 영향을 받는 고객에게 보안 위험에 대한 정보가 미완성인 이메일을 제공했습니다.
우리는 Cisco Webex 간단하고 확장 가능한 원칙에 따라 생활합니다. 소프트웨어 업계에서 지난 20년간의 보안 규명을 무시하는 것은 편리하고 단순함을 보장하는 것은 결코 허용할 수 없는 사실입니다. 또한 장치의 카메라 사용 기능을 포함하여 매우 민감한 데이터가 비디오 회의를 통해 공유되고 있을 때 보안은 가장 중요해야 합니다. 이는 Cisco가 모든 고객을 위해 보류할 것을 약속하며, 이 문제를 위해 취하는 단계를 따르고 있습니다.
귀하가 Cisco에 대해 확대/축소 커넥터를 사용하는 고객인 경우, 관리 로그를 리뷰하고 사용을 분석하여 여기에 설명된 실행 결과로 위반이 없는지십시오.
현재 Cisco에 대한 Zoom Connector는 기업 등급 보안의 표준을 충족하는 Cisco가 지원하는 솔루션이 아닙니다. 지원되는 솔루션은 잘 문서화된 오픈 API를 사용하여 고객이 Cisco에서 기대하는 표준을 충족합니다.
여기에서 문서화된 SIP 및 Cisco Webex Devices 표준 지원되는 방법을 사용하여 Cisco Webex Devices 및 회의실이 확대 미팅에 연결하게 계속할 수 있습니다.
가장 안전한 구성을 제공하기 위해 각 고객과 작업할 것을 약속합니다. 추가 질문이 psirt@cisco.com 귀하의 보안에 도움이 필요하면 저희에게 연락하여 Cisco Webex Devices. 저희는 API를 사용하는 모든 파트너와 작업하고 있습니다. 저희는 지원되는 API를 사용할 수 있도록 확대 작업할 준비가 된 후 공식 프로그램을 통해 인증된 솔루션을 사용할 수 있습니다.
자세한 내용
Webex를 통해 관리자가 더 많은 성과를 달성: Microsoft IT 도구와 통합하여 비용을 절감하고 Webex 네이티브 보안 기능을 활용 하십시오.불가능: Cisco 의 확장된 보안 팩으로 최고의 협업 환경 및 보안 민감한 데이터를 전달하십시오Cisco Unified Communications Manager 진화— 작업이 최대화되는 보안입니까?