Поделиться
Эксперт Positive Technologies помог повысить безопасность почтового сервера CommuniGate Pro
Старший специалист экспертного центра безопасности Positive Technologies (PT ESC) Максим Суслов выявил четыре опасные уязвимости в почтовом сервере CommuniGate Pro. Производитель был своевременно уведомлен в рамках политики ответственного разглашения и уже выпустил обновления, устраняющие недостатки. Потенциальная эксплуатация уязвимостей могла создать риски предоставления доступа к конфиденциальной информации и нарушения работы внутренних систем организаций. Об этом CNews сообщили представители Positive Technologies.
CommuniGate Pro — это отечественное решение для корпоративных коммуникаций. Платформа включает серверные и клиентские компоненты, обеспечивающие почту, мессенджер, видеосвязь, контакт-центры и интеграцию с популярными клиентами, такими как Microsoft Outlook и Thunderbird. Компания «СБК» («Система безопасных коммуникаций») развивает данный продукт с 2023 г. Данное решение используют крупные государственные организации, корпорации и телеком-операторы. По данным «СБК», CommuniGate Pro развернут в 53 странах и обслуживает свыше 135 млн учетных записей.
Уязвимости обнаружены в версии 6.5.1 и в более ранних версиях предыдущего правообладателя. Для их исправления пользователям необходимо как можно скорее обновить ПО до версии не ниже 6.5.1hotfix1, доступной для свободного скачивания с сайта компании-производителя. Если такой возможности нет, в Positive Technologies рекомендуют ограничить доступ к CommuniGate Pro из недоверенных сетей.
«До устранения эти пробелы в защите потенциально позволяли злоумышленникам получить несанкционированный доступ к данным, отправлять фишинговые письма от чужого имени и даже захватить полный контроль над почтовым сервером, — отметил Максим Суслов, старший специалист PT ESC. — Если бы атакующим удалось ими воспользоваться, могли бы возникнуть инциденты, связанные с масштабными утечками конфиденциальной информации и компрометацией части корпоративной ИТ-инфраструктуры».
«Безопасность и надежность CommuniGate Pro подтверждены многолетней эксплуатацией в крупнейших организациях государственного и корпоративного сектора. Обнаруженные дефекты касались модулей, разработанных более пяти лет назад другой командой, и являются частью естественного процесса развития сложных программных продуктов. Все выявленные уязвимости были устранены в кратчайшие сроки: в среднем за две недели с выпуском обновлений и прохождением полного цикла тестирования. Мы последовательно усиливаем процессы безопасной разработки и привлекаем лучших специалистов, чтобы постоянно повышать у наших заказчиков уровень доверия к продукту», – сказал Александр Буравцов, директор по информационной безопасности CommuniGate Pro.
Наиболее серьезный из найденных недостатков безопасности — PT-2025-21649 (BDU:2025-02495) — имеет критически высокий уровень угрозы (9,3 балла по шкале CVSS 4.0). Ошибка заключается в потенциальной возможности выполнить вредоносный код и получить полный контроль над системой.
Следующим двум уязвимостям — PT-2025-20235 (BDU:2025-01798) и PT-2025-30037 (BDU:2025-08669) — присвоена высокая степень опасности (8,7 балла по шкале CVSS 4.0). Они представляют собой уязвимости типа SSRF и связаны с отсутствием корректной проверки прав в одном из методов при отправке почты. В случае успешной эксплуатации они могли бы позволить злоумышленнику подделывать внутренние запросы системы и рассылать письма от имени любого пользователя.
Последний устраненный недостаток PT-2025-20237 (BDU:2025-01820), набравший 6,9 балла по шкале CVSS 4.0, теоретически давал атакующему возможность получить доступ к любым файлам на сервере, включая личные письма пользователей. С большой вероятностью похищенные данные в дальнейшем использовались бы злоумышленниками для мошенничества, шантажа либо продажи на черном рынке.
Короткая ссылка
