Eltex устранил ошибку в оборудовании для VoIP-телефонии¹, найденную Positive Technologies

Эксперт PT SWARM Никита Петров обнаружил уязвимость с критически высоким уровнем опасности в пяти устройствах российского производителя телекоммуникационного оборудования Eltex. По данным организации, ее решениями пользуются более 20 тысяч компаний в России и за рубежом. В случае успешной эксплуатации недостатка безопасности злоумышленник гипотетически мог бы установить полный контроль над атакуемой системой с целью дальнейшего развития атаки. Вендор устранил уязвимость после уведомления в рамках политики ответственного разглашения и рекомендует компаниям обновить встроенное ПО.

Уязвимость BDU:2025-01096 получила 9,8 балла по шкале CVSS 3.0, что означает критический уровень опасности. Устраненная ошибка принадлежит к классу pre-auth RCE² (выполнение произвольных команд от имени неаутентифицированного пользователя). Дефект, предположительно, мог бы позволить злоумышленнику захватить систему для достижения своих целей, в том числе для реализации атаки типа supply chain³.

Недостаток содержался в транковых шлюзах SMG-1016M, SMG-2016, SMG-3016, а также в двух моделях автоматических телефонных станций (АТС), действующих на основе межсетевого протокола IP, — SMG-200 и SMG-500. Пользователям необходимо как можно скорее обновить устройства до версии не ниже 3.23.1 либо 3.405.1 в зависимости от модели оборудования. Исследователь из Positive Technologies также рекомендует вывести уязвимое оборудование с внешнего периметра организации.

Eltex рекомендует использовать устройства SMG в публичной сети только при наличии дополнительных инструментов защиты, таких как средства анализа сетевого трафика. Так, обеспечить безопасность компании поможет межсетевой экран нового поколения PT NGFW. Своевременно выявлять попытки эксплуатации уязвимостей внутри сетевого контура организации позволят продукты классов NTA и NDR, например PT Network Attack Discovery (PT NAD). Для обнаружения и блокировки попыток эксплуатации уязвимости, позволяющей выполнить произвольные команды от имени неаутентифицированного пользователя, эффективно применение динамического анализатора приложений, например PT BlackBox, и межсетевых экранов уровня веб-приложений, например PT Application Firewall (у которого также есть облачная версия — PT Cloud Application Firewall).

1. VoIP-телефония (voice over internet protocol) — технология, позволяющая проводить телефонные звонки, используя интернет-соединение.
2. Remote code execution, удаленное выполнение кода.
3. Атаки на организации через поставщиков услуг и другие сторонние компании.
4. SSH — сетевой протокол прикладного уровня для удаленного управления операционной системой и туннелирования TCP-соединений (соединений для передачи данных).