Yealink Meeting Server

Продукт
Разработчики: Yealink Network Technology
Дата последнего релиза: 2024/11/21
Технологии: Видеоконференцсвязь

Содержание

Основная статья: Типы и возможности современных систем ВКС

2024

Устранение уязвимости, которая могла бы привести к утечке учетных данных собеседников

Эксперты PT SWARM выявили уязвимость высокого уровня опасности CVE-2024-48352 (BDU:2024-07167) в системе видео-конференц-связи Yealink Meeting Server. Проблема, получившая оценку 7,5 балла по шкале CVSS v3.1, могла бы привести к утечке учетных данных и конфиденциальной информации собеседников, а также позволить атакующим проникнуть в корпоративную сеть. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО. Об этом Positive Technologies сообщили 21 ноября 2024 года.

Продукты Yealink используются более чем в 140 странах. По данным открытых источников, в октябре 2024 года в мире насчитывалось 461 уязвимая система Yealink Meeting Server. Большинство инсталляций — в Китае (64%), России (13%), Польше (5%), Индонезии, Бразилии (по 3%), Таиланде, Финляндии, Иране (по 2%) и Германии (1%).

«
До своего исправления уязвимость CVE-2024-48352 позволяла любому злоумышленнику без авторизации получить учетные данные всех пользователей системы. Это означает, что атакующий мог бы входить в ВКС-систему Yealink Meeting Server от имени любого пользователя и перехватывать информацию внутри организации, — рассказал Егор Димитренко, старший специалист отдела тестирования на проникновение департамента анализа защищенности Positive Technologies.
»

Это уже вторая уязвимость с высоким уровнем опасности, которую исследователи Positive Technologies в 2024 году помогли устранить в системе видео-конференц-связи Yealink Meeting Server. В январе 2024 года специалисты PT SWARM выявили недостаток BDU:2024-00482 (CVE-2024-24091). В случае если организации еще не обновили систему видео-конференц-связи, злоумышленник, соединив новую и старую уязвимость, мог бы получить первоначальный доступ к корпоративному сегменту, проэксплуатировав pre-auth RCE. Другими словами, киберпреступник может сначала авторизоваться в системе ВКС, а затем выполнить произвольный код. Специалисты PT SWARM рекомендуют в кратчайшие сроки установить последнюю версию Yealink Meeting Server.

Устранение уязвимости, позволяющей развить атаку на внутреннюю сеть

Positive Technologies помогла исправить опасную уязвимость BDU:2024-00482 в системе видеоконференций Yealink. Об этом компания Positive Technologies сообщила 31 января 2024 года.

Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО.

Эксперты команды PT SWARM выяснили, что нарушитель, скомпрометировавший Yealink Meeting Server на внешнем периметре, мог развить атаку на внутреннюю сеть, если в ней отсутствует или недостаточно хорошо организована демилитаризованная зона. Проэксплуатировав эту ошибку, злоумышленник получал первоначальный доступ к корпоративному сегменту.Облачные сервисы для бизнеса: особенности рынка и крупнейшие поставщики. Обзор TAdviser 7.4 т

В середине января число уязвимых систем Yealink Meeting Server, позволяющих авторизованному атакующему проникнуть во внутреннюю сеть, оценивалось специалистами экспертного центра безопасности Positive Technologies в 131. Большинство инсталляций — в Китае (42%), России (26%), Польше (7%), Тайване (4%), Германии (2%), Бразилии (2%), Индонезии (2%).

Уязвимость относится к типу OS Command Injection (CWE-78) и позволяет внедрять команды операционной системы. Используя подобные ошибки, атакующие могут получить доступ к файлам паролей ОС, исходному коду приложения или полностью скомпрометировать веб-сервер. В 2023 году уязвимости этого типа встречались экспертам Positive Technologies при анализе защищенности и тестировании на проникновение в 5% случаев.

Yealink зарегистрировала уязвимость под идентификатором YVD-2023-1257833. Для устранения недостатка, получившего оценку 9,9 балла по шкале CVSS 3.0, необходимо обновить Yealink Meeting Server до версии 26.0.0.66.



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  ВидеоМост (VideoMost) (1774)
  TrueConf (Труконф) (1650)
  Mind (Майнд Лабс, МайндСофт, ИнтерМайнд) (564)
  Softline (Софтлайн) (106)
  Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (53)
  Другие (866)

  ВидеоМост (VideoMost) (181)
  Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (14)
  Softline (Софтлайн) (5)
  ХоспиталТехник (HospitalTechnik) (3)
  TrueConf (Труконф) (2)
  Другие (37)

  ВидеоМост (VideoMost) (101)
  TrueConf (Труконф) (10)
  Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (9)
  СКБ Контур (2)
  IVA Technologies (ИВА, ранее ИВКС) (2)
  Другие (21)

  ВидеоМост (VideoMost) (13)
  TrueConf (Труконф) (9)
  Яндекс (Yandex) (6)
  Unlimited Production (Анлимитед Продакшен, eXpress) (4)
  МТС Линк (Вебинар, Вебинар Технологии) ранее Webinar Group (4)
  Другие (31)

  МТС Линк (Вебинар, Вебинар Технологии) ранее Webinar Group (9)
  TrueConf (Труконф) (6)
  ВидеоМост (VideoMost) (4)
  Softline (Софтлайн) (4)
  СКБ Контур (4)
  Другие (25)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Spirit DSP (Спирит Корп) (7, 1826)
  ВидеоМост (VideoMost) (7, 1820)
  TrueConf (Труконф) (24, 1639)
  W3C - WWWC, World Wide Web Consortium, Консорциум всемирной паутины (4, 576)
  Mind (Майнд Лабс, МайндСофт, ИнтерМайнд) (6, 568)
  Другие (437, 761)

  ВидеоМост (VideoMost) (2, 183)
  Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (1, 18)
  Microsoft (2, 5)
  Medical Visual Systems, MVS (Медицинские Системы Визуализации) (1, 4)
  Logitech (3, 2)
  Другие (21, 24)

  ВидеоМост (VideoMost) (1, 102)
  TrueConf (Труконф) (2, 10)
  Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (1, 9)
  IVA Technologies (ИВА, ранее ИВКС) (1, 2)
  Softscore UG (1, 2)
  Другие (10, 12)

  ВидеоМост (VideoMost) (1, 13)
  TrueConf (Труконф) (3, 9)
  Яндекс (Yandex) (1, 7)
  Unlimited Production (Анлимитед Продакшен, eXpress) (1, 6)
  МТС Линк (Вебинар, Вебинар Технологии) ранее Webinar Group (1, 5)
  Другие (16, 21)

  МТС Линк (Вебинар, Вебинар Технологии) ранее Webinar Group (1, 11)
  TrueConf (Труконф) (2, 7)
  Unlimited Production (Анлимитед Продакшен, eXpress) (1, 4)
  СКБ Контур (1, 4)
  ВидеоМост (VideoMost) (1, 4)
  Другие (11, 17)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  ВидеоМост (VideoMost) ВКС - 1817
  TrueConf Server - 1594
  Mind ВКС - 568
  Р7-Офис - 67
  Skype for Business (ранее Microsoft Lync) - 67
  Другие 673

  ВидеоМост (VideoMost) ВКС - 182
  Р7-Офис - 18
  Microsoft Teams - 5
  MVS OR Умная операционная - 4
  TrueConf Server - 2
  Другие 23

  ВидеоМост (VideoMost) ВКС - 102
  Р7-Офис - 9
  TrueConf Server - 6
  TrueConf Бизнес (Enterprise) - 4
  Контур.Толк - 2
  Другие 14

  ВидеоМост (VideoMost) ВКС - 13
  Яндекс 360 (ранее Почта 360) - 7
  EXpress Защищенный корпоративный мессенджер - 6
  TrueConf Бизнес (Enterprise) - 5
  МТС Линк Платформа для бизнес-коммуникаций и совместной работы - 5
  Другие 27

  МТС Линк Платформа для бизнес-коммуникаций и совместной работы - 11
  TrueConf Server - 7
  EXpress Защищенный корпоративный мессенджер - 4
  ВидеоМост (VideoMost) ВКС - 4
  Контур.Толк - 4
  Другие 18