Скриншот видео Zoom
Zoom отчитался об исправлении уязвимости в своем шлюзе Zoom Connector для подключения комнатного оборудования других вендоров к сервису. Однако Cisco не вполне разделяет уверенность, что все впорядке.
Когда администратор Zoom управляет через Connector сторонними устройствами — Cisco, Poly или Lifesize, для входа создается сложный и уникальный URL-адрес. Злоумышленник теоретически может получить доступ к нему и, соответственно, к функциям администрирования устройства без входа в систему. URL-адрес оставался доступным даже после того, как администратор выходил из системы или менял свой пароль на веб-портале Zoom. 19 ноября Zoom выпустил исправление, которое не требует обновления со стороны клиентов + уведомил самих клиентов, чтобы они проверили свои логи в разделе управления переговорными на наличие подозрительной активности.
Cisco не считает это решение соответствующим своим стандартам безопасности. По мнению руководителя департамента совместной работы Шри Шриванасана, Zoom создает «мост» между своим облаком и сервером Cisco, работающим в корпоративной сети. Такая конфигурация обеспечивает доступ к оконечному оборудованию, которое находится внутри защищенного периметра. “Вряд ли кто-то захочет, чтобы настройки брандмауэра были открыты для такого интерфейса управления, даже когда он защищен паролем”.
Lifesize заявил, что считает Zoom Connector несанкционированной интеграцией, «построенной по своей сути небезопасно», хотя она и не подвергает клиентов немедленному риску.
Cisco рассчитывает, что грядущая интеграция на базе SIP устранит необходимость в таком сервисе, как Zoom Connector.
Подписывайтесь на наш Дзен или Телеграм (@vcs_su), выбираем для вас все самое интересное из мира видеосвязи и коммуникаций!
