Ваши планёрки станут достоянием общественности (если срочно не обновите Yealink)
Специалисты Positive Technologies выявили сразу две уязвимости в популярном ПО для созвонов.
Уязвимости в корпоративных сервисах видеосвязи редко становятся заметной новостью до первого серьёзного инцидента. В случае с Yealink Meeting Server опасный сценарий удалось остановить заранее: специалисты Positive Technologies нашли две проблемы в системе и передали данные разработчику, после чего вендор выпустил исправленную версию.
Positive Technologies сообщила об устранении двух уязвимостей в программном обеспечении Yealink Meeting Server. Речь идёт о недостатках PT-2025-54940 и PT-2025-54941, которым присвоили 8,8 и 5,3 балла по шкале CVSS 3.1. По данным компании, связка двух брешей открывала путь к захвату сервера видеоконференций с максимальными правами доступа.
PT-2025-54941 позволяла извлекать конфиденциальные сведения, включая учётные данные пользователей. PT-2025-54940 была связана с внедрением команд и давала удалённому авторизованному атакующему возможность запустить вредоносный код на сервере. Как пояснил Егор Димитренко из PT SWARM, злоумышленник мог сначала получить данные для входа через одну уязвимость, а затем использовать вторую для полного контроля над системой.
Такой доступ создавал для компаний не только риск перехвата переговоров. Захваченный сервер видеоконференций мог стать точкой входа в корпоративную сеть, откуда атакующие развивали бы дальнейшую атаку на внутреннюю инфраструктуру. Среди возможных последствий Positive Technologies называет утечки данных, финансовые потери и сбои в работе ключевых бизнес-процессов.
Под угрозой находились все версии Yealink Meeting Server ниже 26.0.0.69, причём наибольшую опасность ситуация представляла для организаций, где серверы доступны из интернета. По оценке Positive Technologies, в мире всё ещё остаются уязвимыми 692 сервера Yealink Meeting. Больше всего таких систем зафиксировано в Китае, Польше и России.
Yealink уже выпустила обновления и рекомендует клиентам как можно скорее перейти на безопасную версию не ниже 26.0.0.69. В Positive Technologies добавили, что за последние два года команда компании уже в третий раз помогает устранить опасные недостатки в Yealink Meeting Server. В 2024 году при участии Егора Димитренко были закрыты ещё две проблемы, которые также могли использовать в цепочке атак для кражи учётных данных и запуска произвольного кода.