Российский разработчик решений для видеоконференцсвязи TrueConf устранил найденные в своем ПО уязвимости, которые обнаружили Илья Карпов и Евгений Дружинин, исследователи Лаборатории кибербезопасности АСУ ТП компании «Ростелеком-Солар». Обновленные версии ПО TrueConf с повышенным уровнем безопасности уже доступны для загрузки с сайта компании.
В результате анализа и тестирования ПО TrueConf эксперты «Ростелеком-Солар» выявили ряд уязвимостей, связанных с недостаточно жесткими требованиями к сложности пользовательских паролей, возможному хранению информации на сервере в оперативной памяти в незашифрованном виде и другими механизмами, требующими доработки.
По итогам исследования специалисты TrueConf устранили все найденные в ПО TrueConf уязвимости, а также оптимизировали работу встроенного защитного механизма, который ограничивал количество попыток авторизации абонентов на ВКС-сервере TrueConf Server.
Эксперты TrueConf исправили и другие выявленные в процессе анализа проблемы, в том числе связанные с недостаточными требованиями к сложности пароля пользователя в ВКС-системе TrueConf Server. Несмотря на нормы корпоративной безопасности, которым следуют крупные государственные и частные компании, некоторые абоненты ВКС-системы используют простые пароли. В такой ситуации доступ к учетной записи пользователя мог быть получен путем автоматического перебора паролей.
Кроме того, по итогам исследования разработчик устранил найденные уязвимости TrueConf Server, связанные с недостатками механизма управления токенами пользователей и отсутствием механизма закрытия сессии. Эксплуатируя эти уязвимости, злоумышленник мог получить доступ к серверу, а также перехватить сессию пользователя.
Совместная работа экспертов TrueConf и «Ростелеком-Солар» позволила своевременно выявить и полностью устранить найденные уязвимости, тем самым повысив уровень и качество защиты в программных решениях для видеоконференцсвязи.
TrueConf рекомендует пользователям всегда использовать самые свежие версии ПО. На текущий момент обновленные версии приложений TrueConf с повышенным уровнем безопасности доступны для загрузки с сайта компании.
«В Лаборатории кибербезопасности АСУ ТП мы проверяем не только решения для промышленных систем, но и программное обеспечение, которое используется в корпоративном сегменте сети предприятий, — говорит Ян Сухих, руководитель отдела кибербезопасности АСУ ТП компании «Ростелеком-Солар». — По нашим данным, в 95% промышленных компаний есть точки сопряжения корпоративного и технологического сегментов, чем может воспользоваться злоумышленник. Поэтому своевременное обнаружение и устранение подобных уязвимостей — это вклад в комплексную безопасность предприятий. Коллеги из TrueConf, чьи решения сегодня внедрены во многих крупных компаниях, оперативно среагировали на выявленные проблемы и повысили безопасность своих продуктов».
Информация об исправленных уязвимостях размещена на сайте Банка данных с постоянными идентификаторами BDU:2021-00175, BDU:2021-00176, BDU:2021-00219, BDU:2020-04691, BDU:2021-00173.