Tags: Cisco 产品安全事件响应团队 (PSIRT), Cisco 博客, Cisco 安全性, 不支持的协作集成会导致客户风险增加, 协作, 合规, 安全性, 安全性和互操作性, 报告安全问题, 缩放, 视频会议技术, 通过视频会议传输敏感数据
互操作性和开放度应该始终以安全性为原则,我们的用户不应认为需要互相支持。 互操作性和安全性可以且应该一致地工作,这要求目前的软件公司对于如何集体保护共同客户有一些基本的了解。
Cisco 创建了丰富的合作伙伴、开发者和集成生态系统,因此我们的客户能够灵活地选择以无缝方式利用我们的协作技术取代工具和工作流程。 我们十分关注您每天使用和喜欢的工具的互操作性。 我们在此做的一些工作示例包括 我们与 Google 、Apple 、Microsoft、Slack 等的原生集成。
然而,这种灵活性、选择和互操作性必须能对安全性和数据完整性做出零损害。
不支持的协作集成可能会导致客户风险增加。 兼容性和安全性可能很难,因此我们仅支持符合我们的安全标准并通过受支持的开放式 API 与产品和服务集成的第三方协作供应商。
Cisco 在 2019 年 10 月 31日已获悉 Zoom Connector for Cisco 的严重安全风险,并遵循我们建立的过程来调查问题。 我们认为 Zoom 已在 10 月 31 日或大约时收到通知。 11 月 18日,我们的 CISO 已告知 Zoom 的 CISO 调查结果,并建议立即采取行动解决所有安全风险。 我与大家分享这一问题的详细信息,因为我们致力于在不断演变的安全形势中保持透明性并保护我们的客户。
Zoom Connector for Cisco,拥有并操作 Zoom Video Communications,将其云连接到客户的内部网络,即一个 Cisco 终端/视频设备及其管理界面。
问题是什么? 很抱歉,无需验证即可访问托管在 zoom.us 上的 Zoom Connector(通过缩放 URL)。
问题详细信息:
Cisco Webex Devices可通过 Web 界面进行管理,该界面提供配置、状态、日志、安全性以及集成(如室内控件和宏)的管理。 Cisco 的 Zoom Connector 为连接器中配置的每个端点创建了一个托管在 Zoom 网站上的设备特定 URL。 通过该 URL,可以通过使用 Zoom 的内建 API Connector 修改 Cisco 网页来访问设备的 Web 界面,以便从客户网络外部的缩放 URL 访问它们。
很抱歉,无需验证即可访问其网站上提供的缩放级别 URL。 此外,Zoom 还提供了一个复制 Cisco 登录页面的登录页面,包括 Cisco 徽标和品牌,并误导客户在 Cisco 网页上使用 Cisco 安全性而不是公开访问的 URL。
Cisco 的 Zoom Connector 已造成以下 关键安全风险:
2019年 11 月 19 日,Zoom 发布了”缺陷修复”,部分解决了安全性问题,在 Cisco 的进一步通知之后,向受影响的客户提供有关安全风险的信息不完整。
在Cisco Webex,我们遵循安全、简单、可扩展的原则生活。 在几十年中,我了解到,为了方便而简单起见,绕过安全分流从来是永远不会允许的。 当通过视频会议共享如此敏感的数据(包括使用设备摄像头的能力)时,安全性至关重要。 这是 Cisco 对每位客户的承诺,并遵循我们为此问题所采取的步骤:
如果您是使用 Cisco 的 Zoom Connector 的客户,请复查管理日志并分析使用情况,查看是否因此处描述的实现而违反规定。
目前,用于 Cisco 的 Zoom Connector 不是 Cisco 支持的解决方案,符合我们的企业级安全标准。 我们支持的解决方案使用我们记录良好的开放式 API 满足客户对 Cisco 的期望。
您可以继续使用标准支持Cisco Webex Devices(例如 SIP)和此处记录的支持我们的 XAPI 来继续将您的会议和会议室连接到 Zoom Meetings。
我们承诺将和每个客户一起为它们提供最安全的配置。 如果您有其他问题或 需要我们帮助 保护您的 psirt@cisco.com,请通过我们的联系Cisco Webex Devices。 我们会与每个使用 API 服务的合作伙伴合作。 我们随时准备使用 Zoom,让他们使用受支持的 API 并通过我们的官方程序认证解决方案。
了解更多
管理员借助更多功能Webex: 通过与 Microsoft IT 工具集成并享受Webex安全性功能, 降低成本 不可行: 借助 Cisco 的扩展安全包(Extended Security Pack Cisco Unified Communications Manager提供最好的协作体验和安全敏感数据 – 您的安全性是否上岗?