Разработчики: | Yealink Network Technology |
Дата последнего релиза: | 2024/11/21 |
Технологии: | Видеоконференцсвязь |
Содержание[Свернуть] |
Основная статья: Типы и возможности современных систем ВКС
2024
Устранение уязвимости, которая могла бы привести к утечке учетных данных собеседников
Эксперты PT SWARM выявили уязвимость высокого уровня опасности CVE-2024-48352 (BDU:2024-07167) в системе видео-конференц-связи Yealink Meeting Server. Проблема, получившая оценку 7,5 балла по шкале CVSS v3.1, могла бы привести к утечке учетных данных и конфиденциальной информации собеседников, а также позволить атакующим проникнуть в корпоративную сеть. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО. Об этом Positive Technologies сообщили 21 ноября 2024 года.
Продукты Yealink используются более чем в 140 странах. По данным открытых источников, в октябре 2024 года в мире насчитывалось 461 уязвимая система Yealink Meeting Server. Большинство инсталляций — в Китае (64%), России (13%), Польше (5%), Индонезии, Бразилии (по 3%), Таиланде, Финляндии, Иране (по 2%) и Германии (1%).
![]() | До своего исправления уязвимость CVE-2024-48352 позволяла любому злоумышленнику без авторизации получить учетные данные всех пользователей системы. Это означает, что атакующий мог бы входить в ВКС-систему Yealink Meeting Server от имени любого пользователя и перехватывать информацию внутри организации, — рассказал Егор Димитренко, старший специалист отдела тестирования на проникновение департамента анализа защищенности Positive Technologies. | ![]() |
Это уже вторая уязвимость с высоким уровнем опасности, которую исследователи Positive Technologies в 2024 году помогли устранить в системе видео-конференц-связи Yealink Meeting Server. В январе 2024 года специалисты PT SWARM выявили недостаток BDU:2024-00482 (CVE-2024-24091). В случае если организации еще не обновили систему видео-конференц-связи, злоумышленник, соединив новую и старую уязвимость, мог бы получить первоначальный доступ к корпоративному сегменту, проэксплуатировав pre-auth RCE. Другими словами, киберпреступник может сначала авторизоваться в системе ВКС, а затем выполнить произвольный код. Специалисты PT SWARM рекомендуют в кратчайшие сроки установить последнюю версию Yealink Meeting Server.
Устранение уязвимости, позволяющей развить атаку на внутреннюю сеть
Positive Technologies помогла исправить опасную уязвимость BDU:2024-00482 в системе видеоконференций Yealink. Об этом компания Positive Technologies сообщила 31 января 2024 года.
Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО.
Эксперты команды PT SWARM выяснили, что нарушитель, скомпрометировавший Yealink Meeting Server на внешнем периметре, мог развить атаку на внутреннюю сеть, если в ней отсутствует или недостаточно хорошо организована демилитаризованная зона. Проэксплуатировав эту ошибку, злоумышленник получал первоначальный доступ к корпоративному сегменту.«Гознак» развивает систему «Электронный бюджет» с помощью импортозамещенных решений экосистемы EvaTeam
В середине января число уязвимых систем Yealink Meeting Server, позволяющих авторизованному атакующему проникнуть во внутреннюю сеть, оценивалось специалистами экспертного центра безопасности Positive Technologies в 131. Большинство инсталляций — в Китае (42%), России (26%), Польше (7%), Тайване (4%), Германии (2%), Бразилии (2%), Индонезии (2%).
Уязвимость относится к типу OS Command Injection (CWE-78) и позволяет внедрять команды операционной системы. Используя подобные ошибки, атакующие могут получить доступ к файлам паролей ОС, исходному коду приложения или полностью скомпрометировать веб-сервер. В 2023 году уязвимости этого типа встречались экспертам Positive Technologies при анализе защищенности и тестировании на проникновение в 5% случаев.
Yealink зарегистрировала уязвимость под идентификатором YVD-2023-1257833. Для устранения недостатка, получившего оценку 9,9 балла по шкале CVSS 3.0, необходимо обновить Yealink Meeting Server до версии 26.0.0.66.
Подрядчики-лидеры по количеству проектов
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
Распределение систем по количеству проектов, не включая партнерские решения
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)