Yealink Meeting Server

Основная статья: Типы и возможности современных систем ВКС

2024: Устранение уязвимости, позволяющей развить атаку на внутреннюю сеть

Positive Technologies помогла исправить опасную уязвимость BDU:2024-00482 в системе видеоконференций Yealink. Об этом компания Positive Technologies сообщила 31 января 2024 года.

Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО.

Эксперты команды PT SWARM выяснили, что нарушитель, скомпрометировавший Yealink Meeting Server на внешнем периметре, мог развить атаку на внутреннюю сеть, если в ней отсутствует или недостаточно хорошо организована демилитаризованная зона. Проэксплуатировав эту ошибку, злоумышленник получал первоначальный доступ к корпоративному сегменту.28 мая министр цифрового развития Максут Шадаев выступит на TAdviser SummIT 8.6 т

В середине января число уязвимых систем Yealink Meeting Server, позволяющих авторизованному атакующему проникнуть во внутреннюю сеть, оценивалось специалистами экспертного центра безопасности Positive Technologies в 131. Большинство инсталляций — в Китае (42%), России (26%), Польше (7%), Тайване (4%), Германии (2%), Бразилии (2%), Индонезии (2%).

Уязвимость относится к типу OS Command Injection (CWE-78) и позволяет внедрять команды операционной системы. Используя подобные ошибки, атакующие могут получить доступ к файлам паролей ОС, исходному коду приложения или полностью скомпрометировать веб-сервер. В 2023 году уязвимости этого типа встречались экспертам Positive Technologies при анализе защищенности и тестировании на проникновение в 5% случаев.

Yealink зарегистрировала уязвимость под идентификатором YVD-2023-1257833. Для устранения недостатка, получившего оценку 9,9 балла по шкале CVSS 3.0, необходимо обновить Yealink Meeting Server до версии 26.0.0.66.