Поделиться
Trueconf и «Ростелеком-Солар» выявили и устранили уязвимости в ПО для видеоконференций
Российский разработчик решений для видеоконференцсвязи Trueconf устранил найденные в своем ПО уязвимости, которые обнаружили Илья Карпов и Евгений Дружинин, исследователи лаборатории кибербезопасности АСУ ТП компании «Ростелеком-Солар». Обновленные версии ПО Trueconf с повышенным уровнем безопасности доступны для загрузки с сайта компании.
В результате анализа и тестирования ПО Trueconf эксперты «Ростелеком-Солар» выявили ряд уязвимостей, связанных с недостаточно жесткими требованиями к сложности пользовательских паролей, возможному хранению информации на сервере в оперативной памяти в незашифрованном виде и другими механизмами, требующими доработки.
По итогам исследования специалисты Trueconf устранили все найденные в ПО Trueconf уязвимости, а также оптимизировали работу встроенного защитного механизма, который ограничивал количество попыток авторизации абонентов на ВКС-сервере Trueconf Server.
Эксперты Trueconf исправили и другие выявленные в процессе анализа проблемы, в том числе связанные с недостаточными требованиями к сложности пароля пользователя в ВКС-системе Trueconf Server. Несмотря на нормы корпоративной безопасности, которым следуют крупные государственные и частные компании, некоторые абоненты ВКС-системы используют простые пароли. В такой ситуации доступ к учетной записи пользователя мог быть получен путем автоматического перебора паролей.
Совместная работа экспертов Trueconf и «Ростелеком-Солар» позволила своевременно выявить и полностью устранить найденные уязвимости, тем самым повысив уровень и качество защиты в программных решениях для видеоконференцсвязи.
Trueconf рекомендует пользователям всегда использовать самые свежие версии ПО. На текущий момент обновленные версии приложений Trueconf с повышенным уровнем безопасности доступны для загрузки с сайта компании.
«В лаборатории кибербезопасности АСУ ТП мы проверяем не только решения для промышленных систем, но и программное обеспечение, которое используется в корпоративном сегменте сети предприятий, — сказал Ян Сухих, руководитель отдела кибербезопасности АСУ ТП компании «Ростелеком-Солар». — По нашим данным, в 95% промышленных компаний есть точки сопряжения корпоративного и технологического сегментов, чем может воспользоваться злоумышленник. Поэтому своевременное обнаружение и устранение подобных уязвимостей — это вклад в комплексную безопасность предприятий. Коллеги из Trueconf, чьи решения сегодня внедрены во многих крупных компаниях, оперативно среагировали на выявленные проблемы и повысили безопасность своих продуктов».
Информация об исправленных уязвимостях размещена на сайте Банка данных с постоянными идентификаторами BDU:2021-00175, BDU:2021-00176, BDU:2021-00219, BDU:2020-04691, BDU:2021-00173.
Поделиться
Короткая ссылка
