TrueConf и «Ростелеком-Солар» выявили и устранили уязвимости в ПО для видеоконференций

Арсен Мартиросян
13.01.2021
Арсен Мартиросян

Российский разработчик решений для видеоконференцсвязи TrueConf устранил найденные в своем ПО уязвимости, которые обнаружили Илья Карпов и Евгений Дружинин, исследователи Лаборатории кибербезопасности АСУ ТП компании «Ростелеком-Солар». Обновленные версии ПО TrueConf с повышенным уровнем безопасности уже доступны для загрузки с сайта компании.

В результате анализа и тестирования ПО TrueConf эксперты «Ростелеком-Солар» выявили ряд уязвимостей, связанных с недостаточно жесткими требованиями к сложности пользовательских паролей, возможному хранению информации на сервере в оперативной памяти в незашифрованном виде и другими механизмами, требующими доработки.

По итогам исследования специалисты TrueConf устранили все найденные в ПО TrueConf уязвимости, а также оптимизировали работу встроенного защитного механизма, который ограничивал количество попыток авторизации абонентов на ВКС-сервере TrueConf Server.

Эксперты TrueConf исправили и другие выявленные в процессе анализа проблемы, в том числе связанные с недостаточными требованиями к сложности пароля пользователя в ВКС-системе TrueConf Server. Несмотря на нормы корпоративной безопасности, которым следуют крупные государственные и частные компании, некоторые абоненты ВКС-системы используют простые пароли. В такой ситуации доступ к учетной записи пользователя мог быть получен путем автоматического перебора паролей.

Совместная работа экспертов TrueConf и «Ростелеком-Солар» позволила своевременно выявить и полностью устранить найденные уязвимости, тем самым повысив уровень и качество защиты в программных решениях для видеоконференцсвязи.

TrueConf рекомендует пользователям всегда использовать самые свежие версии ПО. На текущий момент обновленные версии приложений TrueConf с повышенным уровнем безопасности доступны для загрузки с сайта компании.

«В Лаборатории кибербезопасности АСУ ТП мы проверяем не только решения для промышленных систем, но и программное обеспечение, которое используется в корпоративном сегменте сети предприятий, — говорит Ян Сухих, руководитель отдела кибербезопасности АСУ ТП компании «Ростелеком-Солар». — По нашим данным, в 95% промышленных компаний есть точки сопряжения корпоративного и технологического сегментов, чем может воспользоваться злоумышленник. Поэтому своевременное обнаружение и устранение подобных уязвимостей — это вклад в комплексную безопасность предприятий. Коллеги из TrueConf, чьи решения сегодня внедрены во многих крупных компаниях, оперативно среагировали на выявленные проблемы и повысили безопасность своих продуктов».

Информация об исправленных уязвимостях размещена на сайте Банка данных с постоянными идентификаторами BDU:2021-00175, BDU:2021-00176, BDU:2021-00219, BDU:2020-04691, BDU:2021-00173.

О компании Ростелеком-Солар, www.rt-solar.ru

«Ростелеком-Солар» — компания группы ПАО «Ростелеком». Национальный провайдер сервисов и технологий для защиты информационных активов, целевого мониторинга и управления информационной безопасностью.
В основе наших технологий лежит понимание, что настоящая информационная безопасность возможна только при непрерывном мониторинге и удобном управлении системами ИБ. Этот принцип реализован в наших продуктах и сервисах.

О компании TrueConf, www.trueconf.ru

TrueConf — российский разработчик программного обеспечения и пионер в отрасли видеоконференцсвязи, преобразивший рынок корпоративных коммуникаций в Восточной Европе. Решения TrueConf основаны на современной программной архитектуре и лишены недостатков традиционных ВКС-систем.

C TrueConf высококачественная видеоконференцсвязь становится доступной в корпоративных сетях любой сложности, в том числе на рабочих местах, мобильных устройствах, в переговорных комнатах через клиентские приложения и браузеры. Решение полностью совместимо с существующим оборудованием, не требует вложений в инфраструктуру и не создаёт рисков для ИТ-безопасности предприятия. Решениям TrueConf доверяют десятки тысяч компаний и миллионы пользователей по всему миру. TrueConf является членом ассоциаций «РУССОФТ», ISDEF и входит в Международную Ассоциацию интеграторов аудиовизуальных систем AVIXA. В 2019 году TrueConf был включен в магический квадрант Gartner в категории решений для совместной работы и вошел в ТОП-16 ведущих мировых поставщиков ВКС-решений.