Специалисты Positive Technologies рассказали об обнаружении критической уязвимости BDU:2024-00482 в системе видеоконференцсвязи Yealink Meeting Server.
Китайская компания Yealink — производитель и разработчик SIP-телефонов, систем видеоконференцсвязи и аксессуаров к ним. Занимает лидирующее место на глобальном рынке IP-телефонии и входит в топ-5 производителей решений для онлайн-конференций.
Эксперты команды Positive Technologies выяснили, что нарушитель, скомпрометировавший Yealink Meeting Server на внешнем периметре, мог развить свою атаку на внутреннюю сеть, если в ней отсутствует или недостаточно хорошо организована «демилитаризованная зона». Использовав эту ошибку, злоумышленник получал первоначальный доступ к корпоративному сегменту.
Уязвимость относится к типу OS Command Injection (CWE-78) и позволяет внедрять команды ОС. Эксплуатируя подобные баги, атакующие могут получить доступ к файлам паролей ОС, исходному коду приложения или полностью скомпрометировать веб-сервер.
В середине января 2024 года исследователи обнаружили 131 уязвимую систему Yealink Meeting Server, позволяющую авторизованному атакующему проникнуть во внутреннюю сеть компании-жертвы. Большинство установок находятся в Китае (42%), России (26%), Польше (7%), Тайване (4%), Германии (2%), Бразилии (2%), Индонезии (2%).
Yealink зарегистрировала уязвимость под идентификатором YVD-2023-1257833.
Для устранения недостатка, получившего оценку 9,9 балла по шкале CVSS 3.0, необходимо обновить Yealink Meeting Server до версии 26.0.0.66.
