Эксперт Positive Technologies помог повысить безопасность почтового сервера CommuniGate Pro

Старший специалист экспертного центра безопасности Positive Technologies (PT ESC) Максим Суслов выявил четыре опасные уязвимости в почтовом сервере CommuniGate Pro. Производитель был своевременно уведомлен в рамках политики ответственного разглашения и уже выпустил обновления, устраняющие недостатки. Потенциальная эксплуатация уязвимостей могла создать риски предоставления доступа к конфиденциальной информации и нарушения работы внутренних систем организаций.

CommuniGate Pro — это отечественное решение для корпоративных коммуникаций. Платформа включает серверные и клиентские компоненты, обеспечивающие защищенную почту, мессенджер, видеосвязь, контакт-центры и интеграцию с популярными клиентами, такими как Microsoft Outlook и Thunderbird. Компания «СБК» («Система безопасных коммуникаций») развивает данный продукт с 2023 года. Данное решение используют крупные государственные организации, корпорации и телеком-операторы. По данным «СБК», CommuniGate Pro развернут в 53 странах и обслуживает свыше 135 млн учетных записей.

Уязвимости обнаружены в версии 6.5.1 и в более ранних версиях предыдущего правообладателя. Для их исправления пользователям необходимо как можно скорее обновить ПО до версии не ниже 6.5.1hotfix1, доступной для свободного скачивания с сайта компании-производителя (www.communigatepro.ru). Если такой возможности нет, в Positive Technologies рекомендуют ограничить доступ к CommuniGate Pro из недоверенных сетей.

«До устранения эти пробелы в защите потенциально позволяли злоумышленникам получить несанкционированный доступ к данным, отправлять фишинговые письма от чужого имени и даже захватить полный контроль над почтовым сервером. Если бы атакующим удалось ими воспользоваться, могли бы возникнуть инциденты, связанные с масштабными утечками конфиденциальной информации и компрометацией части корпоративной IT-инфраструктуры».

Максим СусловCтарший специалист PT ESC

«Безопасность и надежность CommuniGate Pro подтверждены многолетней эксплуатацией в крупнейших организациях государственного и корпоративного сектора. Обнаруженные дефекты касались модулей, разработанных более пяти лет назад другой командой, и являются частью естественного процесса развития сложных программных продуктов. Все выявленные уязвимости были устранены в кратчайшие сроки: в среднем за две недели с выпуском обновлений и прохождением полного цикла тестирования. Мы последовательно усиливаем процессы безопасной разработки и привлекаем лучших специалистов, чтобы постоянно повышать у наших заказчиков уровень доверия к продукту».

Александр БуравцовДиректор по информационной безопасности CommuniGate Pro

Наиболее серьезный из найденных недостатков безопасности — PT-2025-21649¹ (BDU:2025-02495) — имеет критически высокий уровень угрозы (9,3 балла по шкале CVSS 4.0). Ошибка заключается в потенциальной возможности выполнить вредоносный код и получить полный контроль над системой.

Следующим двум уязвимостям — PT-2025-20235 (BDU:2025-01798) и PT-2025-30037 (BDU:2025-08669) — присвоена высокая степень опасности (8,7 балла по шкале CVSS 4.0). Они представляют собой уязвимости типа SSRF² и связаны с отсутствием корректной проверки прав в одном из методов при отправке почты. В случае успешной эксплуатации они могли бы позволить злоумышленнику подделывать внутренние запросы системы и рассылать письма от имени любого пользователя.

Последний устраненный недостаток PT-2025-20237 (BDU:2025-01820), набравший 6,9 балла по шкале CVSS 4.0, теоретически давал атакующему возможность получить доступ к любым файлам на сервере, включая личные письма пользователей. С большой вероятностью похищенные данные в дальнейшем использовались бы злоумышленниками для мошенничества, шантажа либо продажи на черном рынке.

Positive Technologies регулярно сотрудничает с отечественными производителями систем видео-конференц-связи в вопросах повышения безопасности их решений. В этом году при участии исследователей компании были исправлены дефекты в системах «Яндекс Телемост», VINTEO и TrueConf Server.

Для комплексной защиты от названных уязвимостей необходимо задействовать продукты класса EDR, например MaxPatrol EDR, — для блокировки подозрительных действий на конечных устройствах. Для детектирования недостатков безопасности в IT-инфраструктуре используйте MaxPatrol VM. Продвинутые продукты классов NTA/NDR, например PT Network Attack Discovery, детектируют попытки эксплуатации этих уязвимостей, а продукты класса NGFW, такие как PT NGFW, блокируют их. Защититься от эксплуатации этих ошибок помогут межсетевые экраны уровня веб-приложений, такие как PT Application Firewall, у которого также есть облачная версия — PT Cloud Application Firewall. Существенно снизить риски можно используя системы для выявления потенциальных маршрутов кибератак и автоматизации непрерывного контроля киберустойчивости (MaxPatrol Carbon).

Узнавать об актуальных недостатках безопасности можно на портале dbugs, где аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира и приводятся рекомендации вендоров по их устранению.

¹ _{Недостаток безопасности зарегистрирован на портале dbugs, где аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира.}

² _{Server-side request forgery, подмена запросов на стороне сервера — атака, при которой злоумышленник отправляет произвольные HTTP-запросы к внешним или внутренним ресурсам жертвы от имени уязвимого веб-приложения. Входит в топ-10 наиболее опасных угроз для веб-приложений по версии OWASP.}