Новости

Positive Technologies помогла устранить уязвимость в системе ВКС VINTEO

Разработчик российской системы видео-конференц-связи (ВКС) VINTEO исправил в программном сервере уязвимость (BDU:2025-07296, CVSS 4.0: 9.3), которая, согласно шкале CVSS, имела критический уровень. Недостаток безопасности обнаружили эксперты PT SWARM Михаил Ключников и Александр Стариков при анализе кода ПО на тестовом стенде, предоставленным VINTEO для исследования. Уязвимость была обнаружена и полностью устранена в январе 2025 года. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и оперативно выпустил security-патч для своих заказчиков, полностью закрывший проблему, а затем подготовил полноценное обновление ПО с исправлением.
 

Уязвимость возникла из-за особенности реализации компонента с недостаточной фильтрацией пользовательских данных и относится к типу RCE1. Проблема безопасности, устраненная в новом релизе, содержалась в VINTEO 30.0.0 — пользователям необходимо как можно быстрее установить версию 30.2.0 или выше.

Сервер видео-конференц-связи VINTEO предназначен для построения новой ВКС-инфраструктуры и масштабирования уже существующих сетей. Решения VINTEO, по данным вендора, за 12 лет позволили выполнить около 10 млн видеоконференций.

1 Remote code execution, удаленное выполнение кода.

«В случае успешной эксплуатации уязвимости потенциальный атакующий мог выполнять произвольные команды и получить доступ к серверу и контролем над ним. Дальнейшие сценарии атак могли бы быть самыми разными. Но благодаря участию VINTEO в программе Bug Bounty мы выявили возможную угрозу на тестовом стенде, а специалисты разработчика ее оперативно устранили. Также сотрудничество Positive Technologies и VINTEO в рамках ответственного разглашения уязвимостей является примером эффективного взаимодейств...

Михаил Ключников
Михаил КлючниковРуководитель группы исследования ПО отдела тестирования на проникновение, Positive Technologies

Снизить риски эксплуатации RCE-уязвимостей помогут средства защиты информации класса EDR, например MaxPatrol EDR. Вовремя выявить попытки эксплуатации уязвимостей внутри сетевого контура компании помогут продукты классов NTA и NDR, такие как PT Network Attack Discovery (PT NAD), и средства анализа сетевого трафика, например PT NGFW. Так, в PT NAD и PT NGFW уже добавлены правила детектирования недостатка BDU:2025-07296.
 

Эксперты Positive Technologies и VINTEO тесно сотрудничают для превентивного выявления потенциальных уязвимостей в системах ВКС VINTEO и усиления их безопасности. В 2024 году старший специалист экспертного центра безопасности (PT ESC) Андрей Тюленев с помощью PT NAD зафиксировал кибератаку на одну из российских компаний. Детальный анализ трафика показал, что для взлома использовались две уязвимости нулевого дня2 в системе ВКС. Специалисты Positive Technologies оперативно выпустили правила для PT NAD и PT NGFW, которые позволяли выявлять эти ошибки, а в случае с PT NGFW — еще и блокировать. Благодаря слаженной и быстрой работе специалистов Positive Technologies и VINTEO, вендор в сжатые сроки устранил уязвимости и предотвратил возможное заражение российских компаний.

2 Ранее неизвестная уязвимость, которую злоумышленники эксплуатируют в атаках и для которой вендор еще не выпустил патч.

Может быть интересно