Positive Technologies
  • О компании
  • Новости
  • Компания Yealink поблагодарила Positive Technologies за обнаружение опасной уязвимости в популярной системе видеоконференций
Новости

Компания Yealink поблагодарила Positive Technologies за обнаружение опасной уязвимости в популярной системе видеоконференций

Yealink лидирует на мировом рынке IP-телефонии и входит в топ-5 производителей решений для онлайн-конференций

Эксперты PT SWARM выявили уязвимость высокого уровня опасности CVE-2024-48352 (BDU:2024-07167) в системе видео-конференц-связи Yealink Meeting Server. Проблема, получившая оценку 7,5 балла по шкале CVSS v3.1, могла бы привести к утечке учетных данных и конфиденциальной информации собеседников, а также позволить атакующим проникнуть в корпоративную сеть. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО.

Продукты Yealink используются более чем в 140 странах. По данным открытых источников, в октябре 2024 года в мире насчитывалось 461 уязвимая система Yealink Meeting Server. Большинство инсталляций — в Китае (64%), России (13%), Польше (5%), Индонезии, Бразилии (по 3%), Таиланде, Финляндии, Иране (по 2%) и Германии (1%).

Компания Yealink поблагодарила эксперта Positive Technologies за обнаружение опасной уязвимости в популярной системе видеоконференций

«До своего исправления уязвимость CVE-2024-48352 позволяла любому злоумышленнику без авторизации получить учетные данные всех пользователей системы. Это означает, что атакующий мог бы входить в ВКС-систему Yealink Meeting Server от имени любого пользователя и перехватывать информацию внутри организации».

Егор Димитренко
Егор ДимитренкоСтарший специалист отдела тестирования на проникновение департамента анализа защищенности Positive Technologies

Это уже вторая уязвимость с высоким уровнем опасности, которую исследователи Positive Technologies в этом году помогли устранить в системе видео-конференц-связи Yealink Meeting Server. В январе 2024 года специалисты PT SWARM выявили недостаток BDU:2024-00482 (CVE-2024-24091). В случае если организации еще не обновили систему видео-конференц-связи, злоумышленник, соединив новую и старую уязвимость, мог бы получить первоначальный доступ к корпоративному сегменту, проэксплуатировав pre-auth RCE. Другими словами, киберпреступник может сначала авторизоваться в системе ВКС, а затем выполнить произвольный код. Специалисты PT SWARM рекомендуют в кратчайшие сроки установить последнюю версию Yealink Meeting Server.

Снизить риски эксплуатации опасной цепочки из двух этих уязвимостей помогут средства защиты информации класса EDR, например MaxPatrol EDR. Это решение позволяет обнаружить вредоносную активность, отправить сигнал в SIEM-систему и не дать злоумышленнику продолжить атаку. Для обнаружения и блокировки попыток эксплуатации класса уязвимостей, к которым относится BDU:2024-07167, эффективно применение систем анализа защищенности кода приложений (PT Application Inspector и PT Blackbox) и межсетевых экранов уровня веб-приложений, например PT Application Firewall, у которого есть облачная версия — PT Cloud Application Firewall. Находить недостатки в инфраструктуре также позволяет MaxPatrol VM. Попытку эксплуатации уязвимости можно выявить с помощью PT Network Attack Discovery, системы поведенческого анализа сетевого трафика (network traffic analysis, NTA), и межсетевого экрана нового поколения PT NGFW.