Trustwave julkaisi 7. helmikuuta raportin tutkijoiden löytämästä hyödyntämismenetelmästä, joka vaikuttaa neljään vanhaan Lifesize-tuotteeseen:
- Lifesize Teams ja Lifesize-huoneet, joka on osa aiemmin eläkkeelle jääneitä Lifesize 200- ja Lifesize 220 -tuoteperheitä,
- Lifesize Networker, aiemmin käytöstä poistettu yhdyskäytävä IP- ja ISDN-verkkojen välistä integrointia varten
- Lifesize Passport, aiemmin eläkkeelle jäänyt USB-pohjainen kamerajärjestelmäsarja.
Saatuaan ensimmäisen tiedon tästä puutteesta Lifesize Engineering suoritti tutkimuksen, joka vahvisti haavoittuvuuden tapauksissa, joissa jokin yllä olevista tuotteista oli joko otettu käyttöön palomuurin ulkopuolella julkisella IP-osoitteella tai hyökkäys oli peräisin organisaation sisältä henkilöltä, jolla on järjestelmänvalvojan käyttöoikeudet. järjestelmiin, mikä on harvinaista, ellei järjestelmiä ole koskaan määritetty tai käytetä edelleen oletusarvoisia kirjautumistietoja.
Series 200 -järjestelmiä ja Lifesize Passport -järjestelmiä ei ole myyty yli viiteen vuoteen, ja niiden käyttöikä on virallisesti päättynyt tammikuusta 2017 lähtien. Lifesize Networkeria ei ole myyty tammikuun 2016 jälkeen, ja sen käyttöiän päättymisestä on ilmoitettu 31. maaliskuuta 2019. Sarja 220 järjestelmiä ei ole myyty elokuun 2017 jälkeen. Kuten kaikkien Lifesize-tuotteiden kohdalla, olemme edelleen sitoutuneet tukemaan vanhoja järjestelmiä käyttäviä asiakkaita tuotteen elinkaaren loppuun asti.
Olemme korjanneet haavoittuvuuden ja julkaisemme korjaustiedoston kaikille Lifesize Cloud -asiakkaille, jotka käyttävät tällä hetkellä mitä tahansa haavoittuvaa järjestelmää. Lisäksi Lifesizen asiakkaat, joilla on 220-sarjan järjestelmiä, jotka eivät ole yhteydessä Lifesizen pilvipalveluun, voivat pyytää hotfix-korjausta ottamalla yhteyttä Lifesizen tukeen puhelimitse, sähköpostitse tai avaamalla tukilipun. Lisätietoja on osoitteessa: https://www.lifesize.com/en/support/contact-support
Turvallisuus on Lifesizelle äärimmäisen tärkeää. Kaikki tuotteet skannataan ja ne käyvät läpi tiukat turvallisuustestit automaattisten ja manuaalisten prosessien avulla, mukaan lukien ulkoiset tarkastukset. Harvinaisissa tapauksissa, kun nykyisestä tuotevalikoimastamme löytyy tietoturvapuutteita, ne korjataan ja korjataan muutamassa viikossa, ellei päivissä.
Pahoittelemme asiakkaillemme aiheutunutta vaivaa ja olemme sitoutuneet parantamaan sisäisiä prosessejamme, joilla eskaloimme raportoituja haavoittuvuuksia, jotta voimme ratkaista tunnettuja ongelmia nopeammin.
