Поделиться
Positive Technologies помогла устранить уязвимость в системе ВКС Vinteo
Разработчик российской системы видео-конференц-связи (ВКС) Vinteo исправил в программном сервере уязвимость (BDU:2025-07296, CVSS 4.0: 9.3), которая, согласно шкале CVSS, имела критический уровень. Недостаток безопасности обнаружили эксперты PT SWARM Михаил Ключников и Александр Стариков при анализе кода ПО на тестовом стенде, предоставленным Vinteo для исследования. Уязвимость была обнаружена и полностью устранена в январе 2025 г. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и оперативно выпустил security-патч для своих заказчиков, полностью закрывший проблему, а затем подготовил полноценное обновление ПО с исправлением.
Уязвимость возникла из-за особенности реализации компонента с недостаточной фильтрацией пользовательских данных и относится к типу RCE. Проблема безопасности, устраненная в новом релизе, содержалась в Vinteo 30.0.0 — пользователям необходимо как можно быстрее установить версию 30.2.0 или выше.
Сервер видеоконференцсвязи Vinteo предназначен для построения новой ВКС-инфраструктуры и масштабирования уже существующих сетей. Решения Vinteo, по данным вендора, за 12 лет позволили провести около 10 млн видеоконференций.
«В случае успешной эксплуатации уязвимости потенциальный атакующий мог получить доступ к серверу, где располагается ПО, что дало бы ему возможность выполнить произвольный код, — сказал Михаил Ключников, руководитель группы исследования ПО отдела тестирования на проникновение, Positive Technologies. — Дальнейшие сценарии атак могли бы быть самыми разными. Но благодаря участию Vinteo в программе Bug Bounty мы выявили возможную угрозу на тестовом стенде, а специалисты разработчика ее оперативно устранили. Также сотрудничество Positive Technologies и Vinteo в рамках ответственного разглашения уязвимостей является примером эффективного взаимодействия между исследователями безопасности и вендорами для повышения защищенности отечественных ИТ-решений».
Снизить риски эксплуатации RCE-уязвимостей помогут средства защиты информации класса EDR, например, MaxPatrol EDR. Вовремя выявить попытки эксплуатации уязвимостей внутри сетевого контура компании помогут продукты классов NTA и NDR, такие как PT Network Attack Discovery (PT NAD), и средства анализа сетевого трафика, например, PT NGFW. Так, в PT NAD и PT NGFW уже добавлены правила детектирования недостатка BDU:2025-07296.
Эксперты Positive Technologies и Vinteo тесно сотрудничают для превентивного выявления потенциальных уязвимостей в системах ВКС Vinteo и усиления их безопасности. В 2024 г. старший специалист экспертного центра безопасности (PT ESC) Андрей Тюленев с помощью PT NAD зафиксировал кибератаку на одну из российских компаний. Детальный анализ трафика показал, что для взлома использовались две уязвимости нулевого дня в системе ВКС. Специалисты Positive Technologies оперативно выпустили правила для PT NAD и PT NGFW, которые позволяли выявлять эти ошибки, а в случае с PT NGFW — еще и блокировать. Благодаря слаженной и быстрой работе специалистов Positive Technologies и Vinteo вендор в сжатые сроки устранил уязвимости и предотвратил возможное заражение российских компаний.
Короткая ссылка
