Специалист Positive Technologies выявил хакерскую атаку на российскую компанию. Детальный анализ трафика показал, что для взлома использовались две опасные уязвимости в системе видеоконференцсвязи (ВКС) VINTEO.
Проблему обнаружил старший специалист экспертного центра безопасности Positive Technologies (PT ESC) Андрей Тюленев. Сообщается, что инцидент имел место в 2024 году, но название пострадавшей организации и какие-либо детали атаки не разглашаются.
Сначала система поведенческого анализа сетевого трафика PT Network Attack Discovery (PT NAD) выявила атаку, и уже через 10 часов специалисты Positive Technologies получили от клиента необходимые данные, подтвердили инцидент и эксплуатацию ранее неизвестного бага. После чего стартовало расследование.
В итоге выяснилось, что в атаке использовали сразу две 0-day уязвимости. Первая была связана с внедрением SQL-кода (BDU:2024-08421, 9,8 баллов по шкале CVSS 3.0), а вторая (BDU:2024-08422, 8,1 баллов по шкале CVSS 3.0) — с выполнением произвольного кода с максимальными правами в системе. Комбинация этих проблем позволяла злоумышленниками выполнять вредоносный код без авторизации в системе.
«Эксплуатация уязвимостей могла позволить атакующему получить значительные привилегии доступа к серверу, на котором установлена ВКС, что увеличивало риски для инфраструктуры клиентов. Но благодаря записи исходного трафика в PT NAD во время расследования мы смогли установить вектор эксплуатации неизвестной ранее уязвимости, которую злоумышленники использовали в атаках на российские компании», — комментирует Андрей Тюленев.
Сообщается, что разработчики VINTEO уже устранили уязвимости. Так, для их исправления необходимо установить VINTEO версии 29.3.6 и выше. Если такой возможности нет, настоятельно рекомендуется закрыть доступ к системе ВКС через интернет с помощью межсетевого экрана.
