Cisco предостерегает: Zoom Connector небезопасен

Дата публикации:

zoom-connector

Скриншот видео Zoom

 

Zoom отчитался об исправлении уязвимости в своем шлюзе Zoom Connector для подключения комнатного оборудования других вендоров к сервису. Однако Cisco не вполне разделяет уверенность, что все впорядке.

Когда администратор Zoom управляет через Connector сторонними устройствами — Cisco, Poly или Lifesize, для входа создается сложный и уникальный URL-адрес. Злоумышленник теоретически может получить доступ к нему и, соответственно, к функциям администрирования устройства без входа в систему. URL-адрес оставался доступным даже после того, как администратор выходил из системы или менял свой пароль на веб-портале Zoom. 19 ноября Zoom выпустил исправление, которое не требует обновления со стороны клиентов + уведомил самих клиентов, чтобы они проверили свои логи в разделе управления переговорными на наличие подозрительной активности.

Cisco не считает это решение соответствующим своим стандартам безопасности. По мнению руководителя департамента совместной работы Шри Шриванасана, Zoom создает «мост» между своим облаком и сервером Cisco, работающим в корпоративной сети. Такая конфигурация обеспечивает доступ к оконечному оборудованию, которое находится внутри защищенного периметра. “Вряд ли кто-то захочет, чтобы настройки брандмауэра были открыты для такого интерфейса управления, даже когда он защищен паролем”.

Lifesize заявил, что считает Zoom Connector несанкционированной интеграцией, «построенной по своей сути небезопасно», хотя она и не подвергает клиентов немедленному риску.

Cisco рассчитывает, что грядущая интеграция на базе SIP устранит необходимость в таком сервисе, как Zoom Connector.

 

Подписывайтесь на наш Дзен или Телеграм (@vcs_su), выбираем для вас все самое интересное из мира видеосвязи и коммуникаций!

Источник: https://searchunifiedcommunications.techtarget.com/news/252474709/Cisco-cries-foul-over-security-flaw-in-Zoom-Connector