ИТ / Новости
информбезопасность сервисы
12.11.2021

Zoom устранила уязвимость, которая позволяла перехватывать данные конференций

Zoom Video Communications исправила уязвимости в линейке своих локальных решений для конференций, переговоров и их записей. Ошибки позволяли путем внедрения команд выполнить атаку и получить доступ к серверу.

Приложение для видеоконференций Zoom, по данным LearnBonds, является самым популярным приложением в сегменте видео-конференц-связи в США, его доля составляет 42,8 процентов.

Уязвимости сервиса обнаружила российская Positive Technologies, сообщила пресс-служба компании. Одна из ошибок, по данным экспертов, могла привести к сбою системы. В результате эксплуатации этой уязвимости злоумышленники могли нарушить работоспособность ПО, тем самым создав ситуацию, когда проведение конференций с использованием Zoom не представлялось бы возможным. Ошибка также позволяла выполнить атаку с помощью внедрения команд.

«Главной опасностью компрометации этих приложений и получения доступа к командной оболочке является то, что они обрабатывают трафик со всех конференций компании. Таким образом, злоумышленник может выполнять MITM-атаку и перехватывать любые данные с конференций в режиме реального времени, – рассказал эксперт Positive Technologies Егор Димитренко. – Так как приложения данного типа могут размещаться на периметре, это позволяет внешним нарушителям выполнить произвольный код на сервере с привилегиями пользователя root, что дает возможность дальнейшего продвижения в сети компании».

Основными причинами появления таких уязвимостей Е.Димитренко назвал отсутствие достаточной проверки пользовательских данных.

«Часто можно встретить уязвимости такого класса в приложениях, которым делегированы задачи по администрированию сервера. Особенность данной уязвимости в том, что она всегда ведет к критическим последствиям и в большинстве случае приводит к получению полного контроля над инфраструктурой корпоративной сети», – отметил эксперт.

Изображение: Lori.ru

Еще по теме

Рынок унифицированных коммуникаций на пороге консолидации. Причем тут экспорт?

Как правильно выбрать информационную систему и изменить работу медучреждения

Почему сейчас лучший момент для совершенствования сервисной поддержки дата-центров

Как крупный бизнес диктует собственные правила в технологическом секторе

Как собрать в одном доступе цифровые медицинские ИТ-помощники

Что нужно знать техлиду при запуске проектов на основе искусственного интеллекта

В каких отраслях промышленности искусственный интеллект находит применение

Как региональные фестивали стали источниками кадров для столичных компаний

Грозит ли сбой, аналогичный инциденту с Microsoft, критической инфраструктуре РФ

Стоит ли ожидать дефицита качественной информации для обучения ИИ-моделей

За счет чего российская цифровая техника будет востребована за рубежом

Как изменились подходы и скорость цифровизации за последние 20 лет

Почему будущих специалистов по информбезопасности разбирают еще со школы

Новые схемы интернет-мошенников и как им противостоять

Почему буксует импортозамещение электронных компонентов