Эксперты «Лаборатории Касперского» выявили две критические уязвимости в продукте для видеоконференцсвязи TrueConf Server. Согласно отчету исследователей, TrueConf Server содержал уязвимости, которые могли позволить злоумышленникам без авторизации получить полный доступ к серверу и далее развить атаку внутри организаций, использующих уязвимую версию решения. Собственно, и ранее в TrueConf Server были обнаружены уязвимости — в базе данных уязвимостей ФСТЭК их значиться целых шесть штук, правда в основном они были найдены экспертами «Лаборатории кибербезопасности АСУ ТП» компании «Ростелеком-Солар», видимо, в процессе планового обследования продукта. Впрочем, и последняя по времени уязвимость BDU:2022-03167, хотя и имеет индекс 2022 года, но была заявлена экспертом Андреем Басаргиным еще 3 марта прошлого года.
«В течение суток…»
«Выявление и устранение уязвимостей при поддержке экспертов из крупнейших вендоров средств защиты информации — известная мировая практика, и мы рады совместной работе с коллегами из „Лаборатории Касперского”, — подтвердил наличие дефектов своего ПО директор по развитию TrueConf Дмитрий Одинцов. — Мы оперативно получили соответствующее уведомление и в течение суток выпустили и распространили соответствующее обновление нашего ПО. Пользователи могут быть спокойны: совместная работа ведущих разработчиков в сферах ВКС и ИБ позволит держать их коммуникации под надежной защитой».
Впрочем, в базу данных ФСТЭК информация об этих уязвимостях пока не внесена, поэтому даже трудно понять к какому классу они относятся, легко ли их эксплуатировать и насколько они являются критичными. Тем не менее пользователям TrueConf Server рекомендуется проверить, эксплуатировал ли их кто-то из злоумышленников, сохранить архивную версию директории сервера и при обнаружении подозрительной активности немедленно начать расследование инцидентов. Если же для полноценного расследования ресурсов в компании нет, компании рекомендуется обратиться к внешним экспертам — благо услуги подобного типа предлагают несколько ИБ-компаний. Кроме того, всем клиентам уязвимого решения стоит немедленно обновить ПО до версии TrueConf Server 4.7.3 или 5.0.2 либо использовать компенсирующие меры, например, такие как ограничение доступа к серверу.
«При обнаружении уязвимостей очень важны скорость выпуска обновления, быстрое освещение выявленных проблем и поддержка пользователей продукта с целью поиска уже случившейся эксплуатации бреши или предотвращения её использования злоумышленниками, — считает руководитель команды расследования инцидентов «Лаборатории Касперского» Павел Каргапольцев. — Компания TrueConf оперативно подтвердила уязвимости, разработала исправления и выпустила патч, закрывающий их. Необходимо как можно быстрее проверить вероятность использования брешей в своей инфраструктуре и после этого обновить решение».
Отечественная безопасность
Поиск уязвимостей в отечественных продуктах сейчас очень важен для всей критической инфраструктуры. Если раньше иностранных исследователей уязвимостей не очень интересовали российские продукты, поэтому обычно их активно не изучали. Сейчас же ситуация изменилась — поскольку российские компании, особенно критической инфраструктуры, используют как раз отечественное ПО, то поиск уязвимостей в них стал, возможно, приоритетом для иностранных кибергруппировок. Причем обнаружив уязвимость они, скорее всего, не будут делиться информацией о ней с производителем, но станут сразу ее эксплуатировать. Именно поэтому российским исследователям важно самим обнаруживать подобные дефекты, делиться информацией с производителями и оперативно их исправлять. Это особенно важно для российских ВКС-решений, которые со времен пандемии были призваны заменить иностранные Zoom и Microsoft Teams.
