Nosso foco na segurança em um mundo de colaboração aberta

On By Sri Srinivasan7 Min Read

A interoperabilidade e a abertura nunca devem ser uma troca com segurança e nossos usuários não devem acredita que precisam sacrificar um pelo outro. A interoperabilidade e a segurança podem e devem funcionar em união, e isso requer que as empresas de software de hoje trabalhem com algumas normas básicas sobre como proteger coletivamente nossos clientes mútuos.

A Cisco criou um ecossistema rico de parceiros, desenvolvedores e integradores para que nossos clientes tenham a flexibilidade e a opção de cobrar totalmente suas ferramentas e fluxos de trabalho com nossas tecnologias de colaboração, sem problemas.  Estamos falando sérios sobre a interoperabilidade com as ferramentas que você adora e usa todos os dias. Alguns exemplos do trabalho que fizemos nesse contexto incluem nossas integrações nativas com oGoogle, Apple, Microsoft , Slack emuito mais.

Essa flexibilidade, a escolha e a interoperabilidade, no entanto, devem vir com zero compromissos na segurança e na integridade dos dados.

Integrações de colaboração não-compatíveis podem levar ao aumento do risco ao cliente. A compatibilidade e a segurança podem ser um desafio, e é por isso que suportaremos apenas fornecedores de colaboração de terceiros que atendem nossos padrões de segurança e que se integram com nossos produtos e serviços por meio de nossas APIs abertas suportadas.


Conector de zoom para problema da Cisco: Interop entre o Zoom e os dispositivos de vídeo da Cisco

A Cisco foi notificada de um grave risco à segurança com o Zoom Connector da Cisco em 31 de outubro de 2019

e seguiu nosso processo bem estabelecido para investigar o problema. Acreditamos que o Zoom também tenha sido notificado em 31 de outubro ou sobre isso.  Em 18 de novembro de 2018, nosso CISO notificou o CISO da Zoom sobre nossas descobertas e recomendou uma ação imediata para resolver todos osriscos à segurança. Estou compartilhando os detalhes deste problema já que estamos comprometidos com a transparência e com a proteção dos nossos clientes no cenário de segurança em constante evolução.

O conector de zoom da Cisco, pertencente e operado pela Zoom Video Communications, conecta sua nuvem à rede interna de um cliente e, especificamente, a um dispositivo de extremidade/vídeo da Cisco e sua interface de gerenciamento.


Qual foi o problema?
Infelizmente, o acesso (através de uma URL de Zoom) para o conector de zoom da Cisco hospedado no zoom.us pode ser acessado sem autenticação.


Detalhes do problema:
Cisco Webex Devices podem ser gerenciados por meio de uma interface na Web que fornece gerenciamento de configuração, status, registros, segurança e integrações, como controles na sala e macros. O conector de zoom da Cisco criou uma URL específica de dispositivo organizada no site Zoom para cada extremidade configurada no conector. Esta URL forneceu acesso à interface da web do dispositivo usando o conector de API no local da Zoom para modificar as páginas da Web da Cisco para que elas pudessem ser acessadas a partir da URL de Zoom fora da rede do cliente.
Infelizmente, esta URL de Zoom fornecida no seu site foi acessível semautenticação.
Além disso, o Zoom forneceu uma página de destino que copiou a página de destino da Cisco, incluindo o logotipo e as marcas da Cisco, enganoso os clientes para crer que estavam em uma página da Web da Cisco com segurança da Cisco, em vez de uma URL publicamente acessível.

 



O conector de zoom da Cisco criou os seguintes riscos críticos à segurança:

 

  1. A URL de Zoom não exige credenciais. Qualquer pessoa com conhecimento da URL poderia acessá-la da internet pública, permitindo o acesso não autenticado a um dispositivo Cisco Webex configurado e gerenciado através do conector de zoom da Cisco. Uma vez que uma pessoa tenha a URL, ela pode chegar ao ponto final diretamente e controlá-la, incluindo a criação de uma chamada a partir desse ponto final para deixar uma escuta para reuniões de negócios críticas.

  2. Zoom exposto Cisco Webex Devices a exposição administrativa permanente colocando-se entre o usuário e a interface da Cisco, modificando a página web do Cisco usando métodos não compatíveis através de uma URL de Zoom, ignorando assim todas as normas de Segurança da
    Cisco. A URL de Zoom não expira durante nosso período de testes. Mesmo quando o administrador Zoom alterou sua senha, a URL Zoom gerenciava o dispositivo Cisco Webex tempo real.
  3. O link da URL de Zoom não foi revogado se a senha de administração do Zoom foi alterada ou após a exclusão de um usuário administrativo de Zoom. Assim, um ex-funcionário continuaria a ter acesso aos dispositivos através do firewall a partir da internet pública, se eles tinham a URL de Zoom armazenada no seu histórico.

Em 19 de novembro de2019, a Zoom liberou uma “correção de erros” que abordava parcialmente os problemas de segurança e, após novas comunicações da Cisco, forneceu um e-mail com informações incompletas sobre os riscos à segurança para seus clientesafetados.


Nossa promessa aos nossos clientes

Na Cisco Webex, vivemos por princípios seguros, simples e escalonáveis. Ao longo das minhas décadas no setor de software, aprendi que nunca é aceitável ignorar as normas de segurança por questão de conveniência e simplicidade. E quando dados tão confidenciais estão sendo compartilhados por meio de videoconferência, incluindo a capacidade de usar a câmera de um dispositivo, a segurança deve ser de importância u apple apple. Essa é a promessa que a Cisco espera de cada um de nossos clientes, e foi personada pelas etapas que tomamos para esse problema:

 

  1. Nós fazemos toda notificação com seriedade, especialmente dos nossos clientes.
  2. Nós envolvemos nossa Equipe de Resposta de Incidentes de Segurança do Produto (PSIRT) da Cisco e o Talos Security Intelligence and Research Group (Talos) para investigar esse risco à segurança. A equipe psirt da Cisco é uma equipe global dedicada que gerencia o recebimento, a investigação e o relatório público de informações de vulnerabilidade de segurança relacionadas a produtos e redes da Cisco. Talos é criado de pesquisadores líderes em ameaças suportados por sistemas sofisticados para criar inteligência contra ameaças para produtos da Cisco. A Cisco tem práticas bem estabelecidas para investigar e relatar problemas de segurança (https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html) e pesquisa com a indústriade questões de segurança.
  3. Como eu já notei, essas descobertas foram compartilhadas com o Zoom em 18 denovembrode 2019.
  4. Todos nós vivemos em um estado de alerta cada vez maior, prontos a agir proativamente como e quando notificados. Cada um de nós teve, ao longo dos anos, nossos próprios problemas e precisamos colaborar no futuro por causa dos nossos clientes mútuos. Agradecemos a habilitação dessas URLs zoom a partir de 19 denovembrode 2019. É uma boa primeira etapa, mas precisamos que elas faça mais. Nós queremos que eles tomem medidas adicionais para usar nossas APIs suportadas e trabalhar conosco para certificar a solução de modo que possamos proteger nossos clientes mútuos de forma eficaz.


Chamar para ação

Se você for um cliente usando o Conector de zoom da Cisco, revise os seus registros administrativos e analise o uso para ver se houve algum violação como resultado da implementação descrita aqui.

No momento, o conector de zoom da Cisco não é uma solução suportada pela Cisco que atende aos nossos padrões de segurança de classe empresarial. Nossas soluções suportadas atendem aos padrões que nossos clientes esperam da Cisco usando nossas APIs abertas bem documentadas.

Você pode continuar com a conexão Cisco Webex Devices salas e de reuniões para ampliar as reuniões usando métodos padrão suportados, como o SIP, bem como nossos XAPI estão documentados aqui.

É nossa promessa trabalhar com cada um dos nossos clientes para fornecer a eles a configuração mais segura. Entre em contato conosco em psirt@cisco.com em caso de dúvidas ou se precisar que ajude a proteger sua Cisco Webex Devices. Trabalhamos com cada parceiro que usa nossas APIs com responsabilidade. Estamos prontos para trabalhar com o Zoom para que eles usem as APIs suportadas e que a solução seja certificada por meio de nossos programas oficial.


Saiba mais

Os administradores conseguem mais com a Webex: Reduza o custo integrando-se com as ferramentas de IT da Microsoft e aproveite os recursos de segurança nativos do Webex para fazer o impossível: Oferece a melhor experiência de colaboração e dados confidenciais seguros com o Pacote de segurança estendida Cisco Unified Communications Manager Da Cisco — Sua segurança está completa?

 

 

About The Author

Sri Srinivasan
Sri Srinivasan Senior Vice President and General Manager Cisco
Sri Srinivasan is Senior Vice President and General Manager for Cisco Collaboration.
Learn more

Topics


More like this