Патч готов, а вы? TrueConf закрыл уязвимость, но тысячи компаний всё еще в зоне риска

Эксперт компании СайберОК Роман Малов обнаружил уязвимость в TrueConf Server — популярной платформе для видеоконференцсвязи. Проблема связана с некорректной обработкой ответов при аутентификации через LDAP: сервер по-разному реагирует на запросы в зависимости от того, существует ли учётная запись. Анализируя время ответа, злоумышленник может составить список реальных доменных пользователей, даже не имея никаких учётных данных.

Уязвимость получила идентификаторы COK-2025-10-23 и BDU:2025-16342, а также оценку 5.3 по шкале CVSS 3.1, что соответствует среднему уровню опасности. По данным компании, в Рунете на начало 2026 года насчитывается около 6200 инстансов TrueConf Server, доступных из интернета. Примерно 23% из них на момент исследования были уязвимы.

Сама по себе уязвимость не даёт прямого доступа к системе, однако она существенно упрощает подготовку к более серьёзным атакам. Получив список «живых» учётных записей, злоумышленники могут эффективнее проводить подбор паролей или атаки типа credential stuffing.

Производитель подтвердил проблему и устранил её в актуальных версиях продукта. Уязвимыми остаются версии для Windows до 5.5.2.10976 и для Linux до 5.5.2.10975. Пользователям рекомендуется обновиться, ограничить доступ к эндпоинту /guest/auth/login с внешних IP-адресов, настроить WAF-защиту и rate-limit для запросов аутентификации, а также обеспечить доступ к административной панели только через VPN.

Напомним, в ноябре 2025 года исследователи СайберОК обнаружили в TrueConf Server цепочку из трёх 0-day уязвимостей, которая при последовательной эксплуатации позволяла полностью скомпрометировать хост. Тогда потенциально уязвимыми оказались около 30% из 11 тысяч российских инстансов платформы.