Yealink поблагодарила компанию Positive Technologies за обнаружение критически опасной уязвимости BDU:2024-00482 в системе видео-конференц-связи Yealink Meeting Server. Yealink занимает первое место на глобальном рынке IP-телефонии и входит в топ-5 производителей решений для онлайн-конференций. Продукты разработчика используются более чем в 140 странах. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО.
Эксперты команды PT SWARM выяснили, что нарушитель, скомпрометировавший Yealink Meeting Server на внешнем периметре, мог развить атаку на внутреннюю сеть, если в ней отсутствует или недостаточно хорошо организована демилитаризованная зона1. Проэксплуатировав эту ошибку, злоумышленник получал первоначальный доступ к корпоративному сегменту.
В середине января число уязвимых систем Yealink Meeting Server, позволяющих авторизованному атакующему проникнуть во внутреннюю сеть, оценивалось специалистами экспертного центра безопасности Positive Technologies в 131. Большинство инсталляций — в Китае (42%), России (26%), Польше (7%), Тайване (4%), Германии (2%), Бразилии (2%), Индонезии (2%).
Уязвимость относится к типу OS Command Injection (CWE-78) и позволяет внедрять команды операционной системы. Используя подобные ошибки, атакующие могут получить доступ к файлам паролей ОС, исходному коду приложения или полностью скомпрометировать веб-сервер. В 2023 году уязвимости этого типа встречались экспертам Positive Technologies при анализе защищенности и тестировании на проникновение в 5% случаев.
Yealink зарегистрировала уязвимость под идентификатором YVD-2023-1257833. Для устранения недостатка, получившего оценку 9,9 балла по шкале CVSS 3.0, необходимо обновить Yealink Meeting Server до версии 26.0.0.66.
Попытку эксплуатации YVD-2023-1257833 можно выявить с помощью PT Network Attack Discovery — системы поведенческого анализа сетевого трафика (network traffic analysis, NTA): в нее уже добавлены необходимые правила.
Для обнаружения и блокировки уязвимостей типа OS Command Injection эффективно применять межсетевой экран уровня веб-приложений, например PT Application Firewall или его облачную версию — PT Cloud Application Firewall. Находить недостатки в инфраструктуре позволяет и MaxPatrol VM. А чтобы снизить риски, рекомендуется также использовать средства защиты класса EDR, например MaxPatrol EDR. Это решение позволяет обнаружить вредоносную активность, отправить сигнал в SIEM-систему и не дать злоумышленнику продолжить атаку.
Ранее, в 2021 году, специалисты Positive Technologies нашли уязвимости в Zoom: злоумышленники могли перехватить любые данные с внутренних конференций и атаковать инфраструктуру компаний-пользователей.
- Сегмент локальной сети, доступный из интернета и изолированный от других ресурсов.