互通性和公開性不應與安全性進行交易，我們的使用者不應認為他們需要互相舍相傷。互通性和安全性可以且應該不一致地工作，這要求如今的軟體公司與一些有關如何集體保護共同客戶的基本規則進行協作。

Cisco 已建立豐富的合作夥伴、開發人員和整合者生態系統，因此我們的客戶可以靈活選擇，使用我們的協作技術無縫地為工具和工作流程充電。我們十分關注您日常使用的工具的互通性。我們在此方面所完成之工作的一些範例包括原生與 Google 、Apple 、Microsoft、Slack 等的整合。

然而，這種靈活性、選擇和互通性在安全性和資料完整性上必須不受到任何危害。

不支援的協作整合可能會導致客戶風險增加。相容性和安全性可能充滿挑戰，因此我們將僅支援符合安全性標準並且透過受支援的開放式 API 與產品和服務整合的協力廠商協作供應商。

Cisco 問題的 Zoom Connector：縮放與 Cisco 視扢扢裝置之間的交互操作

Cisco 在 2019 年 10 月 31日收到 Cisco 版 Zoom Connector 存在嚴重安全性風險的通知，並遵循我們建立周到的過程來調查問題。我們認為，Zoom 在 10 月 31 日也已被通知或關於。在 11 月 18 日，我們的 CISO 就我們發現的問題通知 Zoom 的 CISO，並告知立即採取動作解決所有安全性風險。我分享此問題的詳細資訊，因為我們致力於透明並保護在不斷改變的安全環境中的我們的客戶。

Cisco 的 Zoom Connector（由 Zoom Video Communications 擁有及操作）將雲端連接至客戶的內部網路，特別是 Cisco 端點/視訊裝置及其管理介面。

問題是什麼？ 很抱歉，無需驗證即可存取 Cisco zoom.us 的 Zoom Connector（透過縮放 URL）。

問題詳細資料：
Cisco Webex Devices可透過 Web 介面進行管理，此介面提供對組、狀態、記錄、安全性及整合（例如室內控制項和宏）的管理。 Cisco 的 Zoom Connector 已針對連接器中所配置的每個端點，在 Zoom 網站上建立裝置特定的 URL。此 URL 提供對裝置 Web 介面的存取，其使用 Zoom 內部部署 API Connector 修改 Cisco 網頁，以便從客戶網路外部的縮放 URL 存取這些網頁。
很抱歉，無需驗證即可從網站提供此縮放 URL。 此外，Zoom 還提供了一個複製 Cisco 登陸頁面（包括 Cisco 的標誌和品牌）的登陸頁面，誤導客戶在 Cisco 網頁上使用 Cisco 安全性而非可公開可公開訪問的 URL。

Cisco 的 Zoom Connector 造成了下列 關鍵安全性風險：

縮放 URL 不需要認證。知道 URL 的任何人都可以從公用網際網路存取該 URL，允許未經驗證的存取 Cisco Webex 裝置（透過 Cisco 的 Zoom Connector 進行配置和管理）。一旦人員擁有 URL，他們即可直接到達端點並控制它，包括從該端點建立呼叫以竊聽關鍵業務會議。
縮放會 Cisco Webex Devices在使用者與 Cisco 介面之間放置，使用不受支援的方法透過縮放 URL 修改 Cisco 網頁，從而繞過所有 Cisco 安全性控制程式，從而接觸到永久性的管理曝光。縮放 URL 在測試期間未過期。即使縮放管理員變更其密碼，管理共用裝置Cisco Webex URL 會繼續工作。
如果 縮放管理密碼已變更或 刪除 Zoom 管理使用者，則不會撤銷縮放 URL 連結。因此，如果前員工在歷史記錄中儲存了縮放 URL，他們將繼續透過防火牆從公用網際網路存取裝置。

在 2019 年 11 月 19日，Zoom 發佈「Bug 修正」，部分解決了安全性問題。在 Cisco 的進一步通訊後，向受影響的客戶提供了一封包含安全性風險不完整資訊的電子郵件。

我們與客戶的保證

在Cisco Webex，我們遵循安全、簡單且可升級的原則。在軟體行業的幾十年中，我瞭解到為了方便與簡化而忽略安全性限制永遠無法接受。當透過網路共用視訊會議資料（包括使用裝置攝影機的能力）時，安全性必須最為重要。這是 Cisco 對每位客戶的承諾，以及我們為此問題所採取之步驟的保證：

我們嚴重接受每個通知，尤其是來自客戶的通知。
我們已讓我們的 Cisco 產品安全性意外事件回應小組（PSIRT）及 T所經安全智慧及研究群組（T所）調查此安全性風險。 Cisco PSIRT 團隊是一個專用的全球團隊，負責管理與 Cisco 產品和網路相關的安全性漏洞資訊的接收、調查及公開報告。 Talos 是由領先的威脅調查者所構成，其受複雜系統支援，為 Cisco 產品建立威脅智慧。 Cisco 在調查及報告安全性問題（HTTPs://tools.cisco.com/security/center/resources/security_vulnerability_policy.html）以及業界在研究安全性問題方面建立了良好的作法。
如我先前所注意到，這些發現是在 2019 年 11 月 18日與 Zoom 共用的。
我們都生活于預先處理警示的狀態，準備好在收到通知時主動採取行動。這些年中，我們每個人都有自己的問題，將來需要為共同客戶著想。從 2019 年 11 月 19日開始，我們感謝您啟用縮放密碼來啟用這些縮放 URL。這是很好的第一步，但我們需要他們執行更多操作。我們希望他們採取其他步驟來使用受支援的 API，並且與我們在一起證明解決方案，以便我們有效保護共同客戶。

行動計畫

如果您是使用 Cisco 的 Zoom Connector 的客戶，請複查管理日誌並分析使用方式，以查看是否由於這裡描述的實現而發生任何違規。

目前，Cisco 版 Zoom Connector 不是符合企業級安全性標準的 Cisco 支援解決方案。我們支援的解決方案使用我們記錄良好的開放式 API 符合客戶對 Cisco 預期的標準。

您可以繼續將您的會議室和Cisco Webex Devices連接至縮放會議，使用 SIP 等標準支援方法以及這裡記載的 XAPI 。

我們承諾與每個客戶合作，以提供最安全的組配置。如果您有其他問題或需要我們保護您的 psirt@cisco.com，請通過我們的最進一步Cisco Webex Devices。我們會與使用 API 系統的每一個合作夥伴合作。我們已準備好使用 Zoom，讓他們使用受支援的 API，並透過我們的正式程式認證解決方案。