Tags: Cisco 安全性, Cisco 產品安全性意外事件回應團隊 (PSIRT), Cisco 部落格, Zoom, 不支援的協作整合會導致客戶風險增加, 協作, 合規, 報告安全性問題, 安全性, 安全性和互通性, 敏感性資料,透過 視訊會議, 視訊會議技術
互通性和公開性不應與安全性進行交易,我們的使用者不應認為他們需要互相舍相傷。 互通性和安全性可以且應該不一致地工作,這要求如今的軟體公司與一些有關如何集體保護共同客戶的基本規則進行協作。
Cisco 已建立豐富的合作夥伴、開發人員和整合者生態系統,因此我們的客戶可以靈活選擇,使用我們的協作技術無縫地為工具和工作流程充電。 我們十分關注您日常使用的工具的互通性。 我們在此方面所完成之工作的一些範例 包括原生與 Google 、Apple 、Microsoft、Slack 等的整合。
然而,這種靈活性、選擇和互通性在安全性和資料完整性上必須不受到任何危害。
不支援的協作整合可能會導致客戶風險增加。 相容性和安全性可能充滿挑戰,因此我們將僅支援符合安全性標準並且透過受支援的開放式 API 與產品和服務整合的協力廠商協作供應商。
Cisco 在 2019 年 10 月 31日收到 Cisco 版 Zoom Connector 存在嚴重安全性風險的通知,並遵循我們建立周到的過程來調查問題。 我們認為,Zoom 在 10 月 31 日也已被通知或關於。 在 11 月 18 日,我們的 CISO 就我們發現的問題通知 Zoom 的 CISO,並告知立即採取動作解決所有安全性風險。 我分享此問題的詳細資訊,因為我們致力於透明並保護在不斷改變的安全環境中的我們的客戶。
Cisco 的 Zoom Connector(由 Zoom Video Communications 擁有及操作)將雲端連接至客戶的內部網路,特別是 Cisco 端點/視訊裝置及其管理介面。
問題是什麼? 很抱歉,無需驗證即可存取 Cisco zoom.us 的 Zoom Connector(透過縮放 URL)。
問題詳細資料:
Cisco Webex Devices可透過 Web 介面進行管理,此介面提供對組、狀態、記錄、安全性及整合(例如室內控制項和宏)的管理。 Cisco 的 Zoom Connector 已針對連接器中所配置的每個端點,在 Zoom 網站上建立裝置特定的 URL。 此 URL 提供對裝置 Web 介面的存取,其使用 Zoom 內部部署 API Connector 修改 Cisco 網頁,以便從客戶網路外部的縮放 URL 存取這些網頁。
很抱歉,無需驗證即可從網站提供此縮放 URL。 此外,Zoom 還提供了一個複製 Cisco 登陸頁面(包括 Cisco 的標誌和品牌)的登陸頁面,誤導客戶在 Cisco 網頁上使用 Cisco 安全性而非可公開可公開訪問的 URL。
Cisco 的 Zoom Connector 造成了下列 關鍵安全性風險:
在 2019 年 11 月 19日,Zoom 發佈「Bug 修正」,部分解決了安全性問題。在 Cisco 的進一步通訊後,向受影響的客戶提供了一封包含安全性風險不完整資訊的電子郵件。
在Cisco Webex,我們遵循安全、簡單且可升級的原則。 在軟體行業的幾十年中,我瞭解到為了方便與簡化而忽略安全性限制永遠無法接受。 當透過網路共用視訊會議資料(包括使用裝置攝影機的能力)時,安全性必須最為重要。 這是 Cisco 對每位客戶的承諾,以及我們為此問題所採取之步驟的保證:
如果您是使用 Cisco 的 Zoom Connector 的客戶,請複查管理日誌並分析使用方式,以查看是否由於這裡描述的實現而發生任何違規。
目前,Cisco 版 Zoom Connector 不是符合企業級安全性標準的 Cisco 支援解決方案。 我們支援的解決方案使用我們記錄良好的開放式 API 符合客戶對 Cisco 預期的標準。
您可以繼續將您的會議室和Cisco Webex Devices連接至縮放會議,使用 SIP 等標準支援方法以及這裡記載的 XAPI 。
我們承諾與每個客戶合作,以提供最安全的組配置。 如果您有其他問題或需要我們保護 您的 psirt@cisco.com,請通過我們的最進一步Cisco Webex Devices。 我們會與使用 API 系統的每一個合作夥伴合作。 我們已準備好使用 Zoom,讓他們使用受支援的 API,並透過我們的正式程式認證解決方案。
瞭解更多
管理員使用 Webex 實現更多目標: 與 Microsoft IT 工具整合以降低成本並享用 Webex 原生安全性功能 :不可行: 利用 Cisco 的延伸安全性套件Cisco Unified Communications Manager提供最佳協作體驗和安全敏感性資料 — 您的安全性是否由工作決定?