Российский разработчик решений для видеоконференцсвязи TrueConf устранил найденные в своем ПО уязвимости, которые обнаружили Илья Карпов и Евгений Дружинин, исследователи Лаборатории кибербезопасности АСУ ТП компании «Ростелеком-Солар». Обновленные версии ПО TrueConf с повышенным уровнем безопасности уже доступны для загрузки с сайта компании.

В результате анализа и тестирования ПО TrueConf эксперты «Ростелеком-Солар» выявили ряд уязвимостей, связанных с недостаточно жесткими требованиями к сложности пользовательских паролей, возможному хранению информации на сервере в оперативной памяти в незашифрованном виде и другими механизмами, требующими доработки.

По итогам исследования специалисты TrueConf устранили все найденные в ПО TrueConf уязвимости, а также оптимизировали работу встроенного защитного механизма, который ограничивал количество попыток авторизации абонентов на ВКС-сервере TrueConf Server.

Эксперты TrueConf исправили и другие выявленные в процессе анализа проблемы, в том числе связанные с недостаточными требованиями к сложности пароля пользователя в ВКС-системе TrueConf Server. Несмотря на нормы корпоративной безопасности, которым следуют крупные государственные и частные компании, некоторые абоненты ВКС-системы используют простые пароли. В такой ситуации доступ к учетной записи пользователя мог быть получен путем автоматического перебора паролей.

Кроме того, по итогам исследования разработчик устранил найденные уязвимости TrueConf Server, связанные с недостатками механизма управления токенами пользователей и отсутствием механизма закрытия сессии. Эксплуатируя эти уязвимости, злоумышленник мог получить доступ к серверу, а также перехватить сессию пользователя.

Совместная работа экспертов TrueConf и «Ростелеком-Солар» позволила своевременно выявить и полностью устранить найденные уязвимости, тем самым повысив уровень и качество защиты в программных решениях для видеоконференцсвязи.

TrueConf рекомендует пользователям всегда использовать самые свежие версии ПО. На текущий момент обновленные версии приложений TrueConf с повышенным уровнем безопасности доступны для загрузки с сайта компании.

«В Лаборатории кибербезопасности АСУ ТП мы проверяем не только решения для промышленных систем, но и программное обеспечение, которое используется в корпоративном сегменте сети предприятий, — говорит Ян Сухих, руководитель отдела кибербезопасности АСУ ТП компании «Ростелеком-Солар». — По нашим данным, в 95% промышленных компаний есть точки сопряжения корпоративного и технологического сегментов, чем может воспользоваться злоумышленник. Поэтому своевременное обнаружение и устранение подобных уязвимостей — это вклад в комплексную безопасность предприятий. Коллеги из TrueConf, чьи решения сегодня внедрены во многих крупных компаниях, оперативно среагировали на выявленные проблемы и повысили безопасность своих продуктов».

Информация об исправленных уязвимостях размещена на сайте Банка данных с постоянными идентификаторами BDU:2021-00175, BDU:2021-00176, BDU:2021-00219, BDU:2020-04691, BDU:2021-00173.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Solar DAG 2.0: кроссплатформенное решение с глубокой аналитикой, автоматизацией мониторинга и реагирования на ИБ-инциденты

Solar DAG 2.0: кроссплатформенное решение с глубокой аналитикой, автоматизацией мониторинга и реагирования на ИБ-инциденты

Узнать больше
Кибербезопасность в цифровую эпоху: кто отвечает за защиту детей в интернете?

Кибербезопасность в цифровую эпоху: кто отвечает за защиту детей в интернете?

Узнать больше
Стартует отборочный этап на IV Международный киберчемпионат по информационной безопасности

Стартует отборочный этап на IV Международный киберчемпионат по информационной безопасности

Узнать больше
Клиенты Т2 заказали более двух миллионов проверок утечки персональных данных от «Солара»

Клиенты Т2 заказали более двух миллионов проверок утечки персональных данных от «Солара»

Узнать больше
«Солар»: как российские организации подходят к выбору NGFW для киберзащиты

«Солар»: как российские организации подходят к выбору NGFW для киберзащиты

Узнать больше
Коммуникационная платформа VK Tech и Solar Dozor защитят конфиденциальные данные от утечек

Коммуникационная платформа VK Tech и Solar Dozor защитят конфиденциальные данные от утечек

Узнать больше
Виртуальная схватка: «Солар» смоделирует атаки и покажет компаниям слабые места в их ИБ-защите

Виртуальная схватка: «Солар» смоделирует атаки и покажет компаниям слабые места в их ИБ-защите

Узнать больше
«Солар» запустил первую в РФ услугу архитектора комплексной кибербезопасности

«Солар» запустил первую в РФ услугу архитектора комплексной кибербезопасности

Узнать больше
«Солар» удвоил OIBDA до 5,4 млрд рублей по итогам 2024 года, чистая прибыль достигла 1,3 млрд рублей

«Солар» удвоил OIBDA до 5,4 млрд рублей по итогам 2024 года, чистая прибыль достигла 1,3 млрд рублей

Узнать больше
ГК «Солар»: формирование корпоративной киберкультуры сокращает число ошибок персонала в ИБ на 70%

ГК «Солар»: формирование корпоративной киберкультуры сокращает число ошибок персонала в ИБ на 70%

Узнать больше