| Разработчики: | Yealink Network Technology |
| Технологии: | Видеоконференцсвязь |
Основная статья: Типы и возможности современных систем ВКС
2024: Устранение уязвимости, позволяющей развить атаку на внутреннюю сеть
Positive Technologies помогла исправить опасную уязвимость BDU:2024-00482 в системе видеоконференций Yealink. Об этом компания Positive Technologies сообщила 31 января 2024 года.
Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО.
Эксперты команды PT SWARM выяснили, что нарушитель, скомпрометировавший Yealink Meeting Server на внешнем периметре, мог развить атаку на внутреннюю сеть, если в ней отсутствует или недостаточно хорошо организована демилитаризованная зона. Проэксплуатировав эту ошибку, злоумышленник получал первоначальный доступ к корпоративному сегменту.
В середине января число уязвимых систем Yealink Meeting Server, позволяющих авторизованному атакующему проникнуть во внутреннюю сеть, оценивалось специалистами экспертного центра безопасности Positive Technologies в 131. Большинство инсталляций — в Китае (42%), России (26%), Польше (7%), Тайване (4%), Германии (2%), Бразилии (2%), Индонезии (2%).
Уязвимость относится к типу OS Command Injection (CWE-78) и позволяет внедрять команды операционной системы. Используя подобные ошибки, атакующие могут получить доступ к файлам паролей ОС, исходному коду приложения или полностью скомпрометировать веб-сервер. В 2023 году уязвимости этого типа встречались экспертам Positive Technologies при анализе защищенности и тестировании на проникновение в 5% случаев.
Yealink зарегистрировала уязвимость под идентификатором YVD-2023-1257833. Для устранения недостатка, получившего оценку 9,9 балла по шкале CVSS 3.0, необходимо обновить Yealink Meeting Server до версии 26.0.0.66.
Подрядчики-лидеры по количеству проектов
ВидеоМост (VideoMost) (1774) TrueConf (Труконф) (1646) Mind (Майнд Лабс, МайндСофт, ИнтерМайнд) (564) Softline (Софтлайн) (105) Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (51) Другие (835) ВидеоМост (VideoMost) (181) Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (14) Softline (Софтлайн) (5) Vinteo (Винтео) (3) ХоспиталТехник (HospitalTechnik) (3) Другие (37) ВидеоМост (VideoMost) (101) TrueConf (Труконф) (10) Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (9) IVA Technologies (ИВА, ранее ИВКС) (2) СКБ Контур (2) Другие (21)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Spirit DSP (Спирит Корп) (7, 1826) ВидеоМост (VideoMost) (7, 1820) TrueConf (Труконф) (22, 1635) W3C - WWWC, World Wide Web Consortium, Консорциум всемирной паутины (4, 575) Mind (Майнд Лабс, МайндСофт, ИнтерМайнд) (6, 568) Другие (431, 729) ВидеоМост (VideoMost) (2, 183) Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (1, 18) Microsoft (2, 5) Medical Visual Systems, MVS (Медицинские Системы Визуализации) (1, 4) Vinteo (Винтео) (1, 3) Другие (23, 24) ВидеоМост (VideoMost) (1, 102) TrueConf (Труконф) (2, 10) Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (1, 9) Medical Visual Systems, MVS (Медицинские Системы Визуализации) (1, 2) СКБ Контур (1, 2) Другие (10, 12) ВидеоМост (VideoMost) (1, 13) TrueConf (Труконф) (3, 9) Яндекс (Yandex) (1, 7) Unlimited Production (Анлимитед Продакшен, eXpress) (1, 6) Webinar Group (Вебинар, Вебинар Технологии) (1, 5) Другие (16, 19) Webinar Group (Вебинар, Вебинар Технологии) (1, 5) ВидеоМост (VideoMost) (1, 4) TrueConf (Труконф) (2, 2) Нота (Холдинг Т1) (1, 2) SberDevices (СалютДевайсы, ранее СберДевайсы) (1, 1) Другие (3, 3)Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)
TeamSpirit Video Conferencing - 1823 (6, 1817) TrueConf Server - 1634 (1590, 44) WebRTC - 575 (2, 573) Skype for Business (ранее Microsoft Lync) - 124 (67, 57) Oktell Call-center - 71 (51, 20) Другие -2027 TeamSpirit Video Conferencing - 182 (0, 182) Р7-Офис - 18 (18, 0) Microsoft Teams - 5 (5, 0) MVS OR Умная операционная - 4 (4, 0) Vinteo Video Core - 3 (3, 0) Другие -162 TeamSpirit Video Conferencing - 102 (0, 102) TrueConf Server - 10 (6, 4) Р7-Офис - 9 (9, 0) IVA MCU ВКС - 2 (2, 0) Softscore UG: Anwork Бизнес-коммуникатор - 2 (2, 0) Другие -96 TeamSpirit Video Conferencing - 13 (0, 13) TrueConf Server - 9 (4, 5) Яндекс 360 (ранее Почта 360) - 7 (7, 0) EXpress Защищенный корпоративный мессенджер - 6 (6, 0) МТС Линк Платформа для бизнес-коммуникаций и совместной работы - 5 (5, 0) Другие -1 МТС Линк Платформа для бизнес-коммуникаций и совместной работы - 5 (5, 0) TeamSpirit Video Conferencing - 4 (0, 4) TrueConf Server - 2 (2, 0) Нота: Dion Платформа корпоративных коммуникаций - 2 (2, 0) Яндекс 360 (ранее Почта 360) - 1 (1, 0) Другие -2 
