Эксперты Positive Technologies нашли уязвимость в системе видеоконференций Yеalink

Эксперты PT SWARM выявили уязвимость высокого уровня CVE-2024-48352 в системе видео-конференц-связи Yealink Meeting Server. Проблема могла бы привести к утечке учетных данных и конфиденциальной информации собеседников, а также позволить атакующим проникнуть в корпоративную сеть. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО.

Эксперты PT SWARM выявили уязвимость высокого уровня CVE-2024-48352 (BDU:2024-07167) в системе видео-конференц-связи Yealink Meeting Server. Проблема могла бы привести к утечке учетных данных и конфиденциальной информации собеседников, а также позволить атакующим проникнуть в корпоративную сеть. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО.

Продукты Yealink используются более чем в 140 странах. По данным открытых источников, в октябре 2024 года в мире насчитывалось 461 уязвимая система Yealink Meeting Server. Большинство инсталляций — в Китае (64%), России (13%), Польше (5%), Индонезии, Бразилии (по 3%), Таиланде, Финляндии, Иране (по 2%) и Германии (1%).

Егор Димитренко

Старший специалист отдела тестирования на проникновение, департамент анализа защищенности Positive Technologies.

До своего исправления уязвимость CVE-2024-48352 позволяла любому злоумышленнику без авторизации заполучить учетные данные всех пользователей системы. Это означает, что атакующий мог бы входить в ВКС-систему Yealink Meeting Server от имени любого пользователя и перехватывать информацию внутри организации

Это уже вторая критически опасная уязвимость, которую исследователи Positive Technologies в этом году помогли устранить в системе видео-конференц-связи Yealink Meeting Server. В январе 2024 года специалист PT SWARM выявил уязвимость BDU:2024-00482 (CVE-2024-24091). До устранения данная ошибка позволяла атакующему получить доступ к учетной записи Yealink Meeting Server. В случае, если организации еще не обновили систему видеоконференцсвязи до последней версии, злоумышленник, проэксплуатировав эти ошибки, мог бы получить первоначальный доступ к корпоративному сегменту. Комбинация новой и старой уязвимостей позволяет провести атаку Pre-Auth RCE. Другими словами, киберпреступник может сначала авторизоваться в системе ВКС, а затем выполнить произвольный код. Специалисты PT SWARM рекомендуют в кратчайшие сроки обновить Yealink Meeting Server до последней версии системы.

Снизить риски эксплуатации опасной цепочки из двух этих уязвимостей помогут средства защиты информации класса EDR. Для обнаружения и блокировки попыток эксплуатации класса уязвимостей, к которым относится BDU:2024-07167, эффективно применение систем анализа защищенности кода приложений и межсетевых экранов уровня веб-приложений. Попытку эксплуатации уязвимости можно выявить с помощью систем поведенческого анализа сетевого трафика (network traffic analysis, NTA) и межсетевого экрана нового поколения (NGFW).

Материал опубликован при поддержке сайта habr.com
Комментарии

    Актуальные новости по теме "Array"