互操作性和开放度应该始终以安全性为原则,我们的用户不应认为需要互相支持。 互操作性和安全性可以且应该一致地工作,这要求目前的软件公司对于如何集体保护共同客户有一些基本的了解。
Cisco 创建了丰富的合作伙伴、开发者和集成生态系统,因此我们的客户能够灵活地选择以无缝方式利用我们的协作技术取代工具和工作流程。 我们十分关注您每天使用和喜欢的工具的互操作性。 我们在此做的一些工作示例包括 我们与 Google 、Apple 、Microsoft、Slack 等的原生集成。
然而,这种灵活性、选择和互操作性必须能对安全性和数据完整性做出零损害。
不支持的协作集成可能会导致客户风险增加。 兼容性和安全性可能很难,因此我们仅支持符合我们的安全标准并通过受支持的开放式 API 与产品和服务集成的第三方协作供应商。
针对 Cisco 问题的 Zoom Connector: Zoom 和 Cisco 视频设备之间的互操作
Cisco 在 2019 年 10 月 31日已获悉 Zoom Connector for Cisco 的严重安全风险,并遵循我们建立的过程来调查问题。 我们认为 Zoom 已在 10 月 31 日或大约时收到通知。 11 月 18日,我们的 CISO 已告知 Zoom 的 CISO 调查结果,并建议立即采取行动解决所有安全风险。 我与大家分享这一问题的详细信息,因为我们致力于在不断演变的安全形势中保持透明性并保护我们的客户。
Zoom Connector for Cisco,拥有并操作 Zoom Video Communications,将其云连接到客户的内部网络,即一个 Cisco 终端/视频设备及其管理界面。
问题是什么? 很抱歉,无需验证即可访问托管在 zoom.us 上的 Zoom Connector(通过缩放 URL)。
问题详细信息:
Cisco Webex Devices可通过 Web 界面进行管理,该界面提供配置、状态、日志、安全性以及集成(如室内控件和宏)的管理。 Cisco 的 Zoom Connector 为连接器中配置的每个端点创建了一个托管在 Zoom 网站上的设备特定 URL。 通过该 URL,可以通过使用 Zoom 的内建 API Connector 修改 Cisco 网页来访问设备的 Web 界面,以便从客户网络外部的缩放 URL 访问它们。
很抱歉,无需验证即可访问其网站上提供的缩放级别 URL。 此外,Zoom 还提供了一个复制 Cisco 登录页面的登录页面,包括 Cisco 徽标和品牌,并误导客户在 Cisco 网页上使用 Cisco 安全性而不是公开访问的 URL。
Cisco 的 Zoom Connector 已造成以下 关键安全风险:
- 缩放 URL 不需要凭证。 任何知道 URL 的人都可以通过公共互联网访问,从而允许未经身份验证Cisco Webex通过 Cisco 的 Zoom Connector 配置和管理的云设备。 一旦某个人获得 URL,他们就可以直接访问终端并控制它,包括从该终端创建呼叫来被窃听至关键业务会议。
缩放功能 Cisco Webex Devices用户和 Cisco 界面之间,使用不受支持的方式通过缩放 URL 修改 Cisco 网页,从而绕过所有 Cisco Security 订购方式,从而将缩放权暴露给永久管理泄露。 缩放 URL 没有在测试期间过期。 即使缩放管理员更改了密码,管理视频设备设置Cisco Webex的缩放 URL。- 如果 更改了缩放管理密码或在 删除缩放管理用户时,缩放 URL 链接不会撤销。 因此,离职员工只要将缩放 URL 存储在历史记录中,就可以通过防火墙从公共互联网继续访问设备。
2019年 11 月 19 日,Zoom 发布了”缺陷修复”,部分解决了安全性问题,在 Cisco 的进一步通知之后,向受影响的客户提供有关安全风险的信息不完整。
我们对客户的承诺
在Cisco Webex,我们遵循安全、简单、可扩展的原则生活。 在几十年中,我了解到,为了方便而简单起见,绕过安全分流从来是永远不会允许的。 当通过视频会议共享如此敏感的数据(包括使用设备摄像头的能力)时,安全性至关重要。 这是 Cisco 对每位客户的承诺,并遵循我们为此问题所采取的步骤:
- 我们重视每一次通知,尤其是来自客户的通知。
- 我们请我们的 Cisco 产品 安全事件响应团队 (PSIRT)和 Talos Security Intelligence and Research Group (Talos) 调查此安全风险。 Cisco PSIRT 团队是一个专门的全球团队,负责管理与 Cisco 产品和网络相关的安全漏洞信息的接收、调查和公开报告。 Talos 由先进的系统支持以创造 Cisco 产品的威胁智能的领先威胁调查人员所构成。 Cisco 在调查和报告安全问题(https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html)方面已建立了良好的实践,并同业界一起研究安全问题。
- 如我之前提到的,这些发现是于 2019 年 11 月 18日与 Zoom 共享的。
- 我们都位于预先设置好提示的状态,准备就绪,在接到通知后主动行动。 这些年中,我们每个人都曾自己处理问题,需要将来为了共同客户的利益而合作。 从 2019 年 11 月 19日开始,我们对启用缩放密码十分感激。 这是良好的第一步,但我们需要他们进行更多工作。 我们希望他们采取更多步骤来使用受支持的 API,并同我们一起为解决方案认证,以便我们有效地保护共同客户。
行动起来
如果您是使用 Cisco 的 Zoom Connector 的客户,请复查管理日志并分析使用情况,查看是否因此处描述的实现而违反规定。
目前,用于 Cisco 的 Zoom Connector 不是 Cisco 支持的解决方案,符合我们的企业级安全标准。 我们支持的解决方案使用我们记录良好的开放式 API 满足客户对 Cisco 的期望。
您可以继续使用标准支持Cisco Webex Devices(例如 SIP)和此处记录的支持我们的 XAPI 来继续将您的会议和会议室连接到 Zoom Meetings。
我们承诺将和每个客户一起为它们提供最安全的配置。 如果您有其他问题或 需要我们帮助 保护您的 psirt@cisco.com,请通过我们的联系Cisco Webex Devices。 我们会与每个使用 API 服务的合作伙伴合作。 我们随时准备使用 Zoom,让他们使用受支持的 API 并通过我们的官方程序认证解决方案。
了解更多
管理员借助更多功能Webex: 通过与 Microsoft IT 工具集成并享受Webex安全性功能, 降低成本 不可行: 借助 Cisco 的扩展安全包(Extended Security Pack Cisco Unified Communications Manager提供最好的协作体验和安全敏感数据 – 您的安全性是否上岗?