Yealink 感谢我们的专家发现了视频会议系统 Yealink Meeting Server 中的一个关键漏洞
该公司在全球 IP 电话市场排名第一,是五大线上会议解决方案供应商之一,其产品已在 140 多个国家和地区使用。
漏洞 YVD-2023-1257833 (BDU:2024-00482) 属于操作系统命令注入 (CWE-78) 类型,允许注入操作系统命令。该漏洞在 CVSS 3.0 评分系统中获得了 9.9 分。根据负责任的披露政策,供应商获知了这一威胁,并发布了软件更新以修复该漏洞。
PT SWARM 专家发现,如果没有隔离区(可从互联网访问并与其他资源隔离的局域网段)或隔离区设置不完善,攻击者从外部入侵 Yealink Meeting Server 后,可对内部网络发起攻击。利用这个漏洞,攻击者可以获得对企业网段的初始访问权限。
1 月中旬,Positive Technologies 专家安全中心 (PT Expert Security Center) 的专家预估易受攻击的 Yealink Meeting Server 系统的数量为 131 个。大部分安装在中国 (42%)、俄罗斯 (26%)、波兰 (7%)、中国台湾 (4%)、德国 (2%)、巴西 (2%) 印度尼西亚 (2%)。
要修复该漏洞,必须将 Yealink Meeting Server 更新到 26․0․0․66 版本。