Cisco выпустила пакет обновлений безопасности для операционной системы RoomOS, используемой в устройствах видеоконференц-связи. В ходе внутреннего аудита, проведённого инженерной группой Cisco RoomOS, были обнаружены шесть уязвимостей, объединённых в одно предупреждение (cisco-sa-hardening-roomos-AqNMbEq). Наиболее критическая из них получила базовую оценку 8,8 по шкале CVSS. Патчи уже доступны для версий 11 и 26, как для локального (on-premises), так и для облачного (cloud-aware) режимов работы.
Детали уязвимостей
Все уязвимости были найдены в ходе планового внутреннего тестирования безопасности с использованием как стандартных методик, так и передовых моделей искусственного интеллекта. На момент публикации бюллетеня, по данным Cisco, не было обнаружено попыток эксплуатации этих недостатков в реальных атаках. Тем не менее компания присвоила уязвимостям высокий уровень опасности и рекомендовала немедленно обновить системы до исправленных версий.
Cisco сгруппировала обнаруженные проблемы по классам слабых мест (CWE) и назначила каждой группе отдельный идентификатор CVE. Наиболее серьёзная уязвимость, CVE-2026-20150, относится к категории неверного контроля доступа (CWE-284). Она охватывает проблемы авторизации, аутентификации, привилегий и обходов защиты. В случае эксплуатации злоумышленник мог бы получить несанкционированный доступ к функциям устройства или данным, передаваемым через систему видеоконференций. Эта уязвимость получила наивысший балл 8,8.
Ещё одна группа уязвимостей, объединённая под CVE-2026-20156, связана с некорректными ограничениями операций в границах буфера памяти (CWE-119). Она включает переполнения буфера и запись за пределами выделенной области памяти; оценка CVSS составила 8,1. Такие уязвимости могут позволить злоумышленнику вызвать отказ в обслуживании или, при определённых условиях, выполнить произвольный код на устройстве.
Проблема неверной проверки входных данных (CWE-20) зафиксирована как CVE-2026-20153 с оценкой 7,5. Сюда входят уязвимости, связанные с проверкой ввода, обходом путей и контролем внешних путей. При успешной эксплуатации атакующий мог бы манипулировать обрабатываемыми данными, приводя к нежелательному поведению системы.
Отсутствие шифрования при передаче конфиденциальной информации (CWE-311) описывается как CVE-2026-20157 (оценка 7,5). Уязвимость касается передачи данных в открытом виде, что делает возможным перехват чувствительной информации злоумышленником, имеющим доступ к сетевому трафику.
Некорректный контроль ресурса на протяжении его жизненного цикла (CWE-664) выделен как CVE-2026-20158 (оценка 7,5). Эта категория включает неинициализированные переменные, нулевые указатели и другие проблемы управления памятью, которые потенциально могут привести к нестабильной работе устройства или его компрометации.
Наконец, уязвимость, связанная с некорректной обработкой исключительных ситуаций (CWE-703), получила идентификатор CVE-2026-20187 (оценка 7,5). Она охватывает необработанные исключения и достижимые утверждения (assertions), что может быть использовано для аварийного завершения работы или обхода защитных механизмов.
Все перечисленные уязвимости затрагивают устройства под управлением Cisco RoomOS независимо от их конфигурации. Под удар попадают версии 11 и старше (до 11.32.6.0 для локального режима и до 11.39.1.1 для облачного), а также версия 26 (до 26.5.2.2 для локального и до June 2026 (26.7.1.7) для облачного). Для устройств, работающих в локальном режиме на версиях 9.15 и ранее, использовалось другое название ПО - Cisco TelePresence CE, однако для них тоже требуется обновление до указанных фиксированных выпусков.
Временных обходных путей для устранения этих уязвимостей не существует. Cisco настоятельно рекомендует установить обновление: для локальных систем - версии 11.32.6.0 (для 11-й ветки) или 26.5.2.2 (для 26-й), для облачных - RoomOS 11.39.1.1 или RoomOS June 2026 (26.7.1.7) соответственно.
Решение Cisco выпустить единый набор "ужесточения" (hardening) для RoomOS - часть системной работы по упреждающей защите продуктов. Внутреннее тестирование, включая применение инструментов на основе ИИ, позволило выявить целый класс проблем на ранней стадии, до того как ими мог бы воспользоваться кто-либо извне. Подобная практика становится стандартом для крупных вендоров, стремящихся снизить количество уязвимостей, достигающих конечных пользователей.
Организациям, использующим оборудование Cisco для видеоконференций, следует как можно скорее обновить комнатные системы, особенно если устройства доступны из внешних сетей или обрабатывают конфиденциальные переговоры. Корпоративные клиенты должны включить данное обновление в ближайший цикл управления исправлениями. Для облачных подписок Cisco, скорее всего, применит автоматические обновления, но администраторам рекомендуется проверить текущие версии в панели управления.
Ссылки