Эксперт Positive Technologies усилил безопасность системы видеоконференций Yealink

Эксперт PT SWARM Егор Димитренко обнаружил и помог устранить два недостатка в программном обеспечении для видеоконференций Yealink Meeting Server. Уязвимости PT-2025-54941[1] (BDU:2025-06898) и PT-2025-54940 (BDU:2025-06897) имеют высокую и среднюю оценку опасности по шкале CVSS 3.1 (8,8 и 5,3 балла соответственно). Их использование могло бы позволить злоумышленникам из любой точки мира получить контроль над сервером, что потенциально привело бы к перехвату звонков, утечкам конфиденциальных данных и развитию атак на локальную сеть компаний. Сведения об угрозах были переданы разработчику в рамках политики ответственного разглашения, обновления уже доступны.

Компания Yealink Network Technology — один из лидирующих на мировом рынке поставщиков решений для унифицированных коммуникаций и совместной работы, его продукты используются более чем в 140 странах. По данным мониторинга актуальных угроз (threat intelligence), проведенного специалистами Positive Technologies, в мире остаются уязвимыми 692 сервера Yealink Meeting, большинство из них находится в Китае (50%), Польше (25%) и России (10%).

В случае успешной атаки недостаток защиты PT-2025-54941 гипотетически давал возможность извлекать конфиденциальную информацию, включая учетные данные пользователей. До устранения уязвимости PT-2025-54940, связанная с инъекцией команд, позволяла выполнить на сервере вредоносный код (RCE) удаленному авторизованному атакующему. Для входа в приложение он мог бы использовать логин и пароль, которые потенциально могли быть получены в результате эксплуатации PT-2025-54941. Таким образом, использование этих недостатков в цепочке открыло бы злоумышленнику путь к полному контролю над системой с максимальными правами доступа.

Например, получив контроль над сервером видеоконференций, злоумышленник мог бы не только перехватывать переговоры, но и использовать уязвимый узел как точку проникновения в интересующую организацию, чтобы в дальнейшем развить атаку внутри IT-инфраструктуры, переместиться по локальной корпоративной сети и достичь своих целей. Среди возможных последствий для жертв — финансовые потери (вплоть до вывода денежных средств), утечки конфиденциальных данных и сбой в ключевых бизнес-процессах.

«Уязвимости затрагивали все версии ниже 26.0.0.69 и были особенно опасны для компаний, в которых серверы Yealink Meeting доступны из интернета, — комментирует Егор Димитренко, старший специалист отдела тестирования на проникновение департамента анализа защищенности Positive Technologies. — Злоумышленнику не нужно было заранее знать пароли или другие данные о приложении, потому что он мог потенциально получить учетные данные, проэксплуатировав уязвимость PT-2025-54941. Получив такую точку входа, организованные группы могли бы углубиться в корпоративную сеть, чтобы, например, похитить данные, заблокировать работу систем или подготовить масштабные атаки».

Вендор выпустил исправления и рекомендует клиентам немедленно установить безопасное ПО Yealink Meeting Server (не младше 26.0.0.69). Если оперативно обновить ПО не получается, снизить риски помогут дополнительные средства защиты. Решения класса EDR, например MaxPatrol EDR, обнаруживают вредоносную активность и блокируют развитие атаки. Продвинутые продукты классов NTA, NDR, например PT Network Attack Discovery (PT NAD), детектируют попытки эксплуатации этих уязвимостей, а продукты класса NGFW, такие как PT NGFW, еще и блокируют их. Межсетевые экраны уровня веб-приложений, такие как PT Application Firewall, и системы анализа защищенности кода, в частности PT Application Inspector, позволяют выявлять и блокировать попытки эксплуатации подобных брешей.

Это уже третий за последние два года случай, когда эксперты Positive Technologies помогают устранить недостатки в Yealink Meeting Server. В 2024 году при участии Егора Димитренко были исправлены две другие опасные проблемы: одна из них тоже позволяла удаленно завладеть учетными данными пользователей, а вторая была связана с внедрением в систему вредоносных команд. Как и в текущем случае, предыдущие уязвимости могли быть использованы в цепочке атак для получения доступа к корпоративной инфраструктуре и выполнения произвольного кода.

Быть в курсе актуальных недостатков безопасности можно на портале dbugs, где аккумулируются данные об уязвимостях в ПО и оборудовании производителей со всего мира, а также рекомендации вендоров по их устранению.