В конце декабря 2025 года в Банке данных угроз безопасности информации (BDU) была зарегистрирована серьезная уязвимость в популярных IP-телефонах Yealink модели SIP-T21P E2. Идентификатор уязвимости - BDU:2025-16476. Данная проблема, получившая также идентификатор CVE-2025-66738, связана с недостаточной очисткой входных данных в веб-интерфейсе для администрирования устройства. Специалисты оценивают уровень опасности как высокий. Эксплуатация уязвимости может позволить злоумышленнику, имеющему учетные данные для входа в веб-интерфейс, выполнить произвольный код на телефоне, полностью скомпрометировав его.
Детали уязвимости
Уязвимость затрагивает конкретную версию микропрограммного обеспечения - 52.84.0.15. Технически она классифицируется как «Command Injection» (CWE-77). Это означает, что злоумышленник, отправив специально сконструированный POST-запрос на адрес телефона, может внедрить и выполнить на устройстве произвольные системные команды. Поскольку веб-интерфейс обычно используется для базовой настройки, у многих устройств могут быть стандартные или слабые пароли, что упрощает атаку.
Базовые оценки по системе CVSS подтверждают серьезность угрозы. По версии CVSS 2.0 уязвимость получила высочайший балл - 9.0. По современной версии CVSS 3.1 оценка составляет 8.8. Ключевые векторы атаки (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H) расшифровываются следующим образом: для атаки не требуется физический доступ к устройству, сложность атаки низкая, злоумышленнику нужны привилегии обычного пользователя веб-интерфейса, взаимодействие с пользователем не требуется, уязвимость не затрагивает другие системы, а последствия - полный компромисс конфиденциальности, целостности и доступности телефона. Стоит отметить, что по данным BDU, эксплойт для данной уязвимости уже существует в открытом доступе, что значительно повышает актуальность угрозы.
Успешная эксплуатация этой уязвимости открывает для злоумышленника широкие возможности. Во-первых, он может получить полный контроль над телефоном, включая возможность прослушивания разговоров, перенаправления вызовов или сбора конфиденциальной информации. Во-вторых, скомпрометированное устройство может быть использовано для атак на другие системы внутри корпоративной сети, выступая в качестве плацдарма. В-третьих, злоумышленник может установить на телефон вредоносное ПО для обеспечения постоянного доступа (persistence) или использовать его в составе ботнета.
На данный момент вендор, компания Yealink Network Technology Co., Ltd., не предоставил официальных патчей или рекомендаций по устранению уязвимости. Статус уязвимости, а также способ и информация об устранении в BDU помечены как «уточняются». Однако эксперты уже предлагают ряд компенсирующих мер, которые могут помочь снизить риски до выхода официального обновления.
Прежде всего, критически важно изменить пароли по умолчанию на сложные и уникальные для всех IP-телефонов в сети. Кроме того, необходимо максимально ограничить доступ к веб-интерфейсам этих устройств. Идеально полностью закрыть доступ к ним из интернета, оставив управление только из внутренней доверенной сети. Для дополнительной защиты можно применять сегментацию сети, выделяя голосовой трафик (VoIP) в отдельный изолированный сегмент с жесткими правилами межсетевого экранирования.
Также специалисты рекомендуют использовать брандмауэры веб-приложений для фильтрации подозрительных HTTP-запросов к устройствам. Системы обнаружения и предотвращения вторжений (IDS/IPS) могут быть настроены на выявление сигнатур, характерных для попыток внедрения команд. Организация безопасного удаленного доступа через виртуальные частные сети (VPN) вместо прямого открытия портов управляющих интерфейсов является еще одной важной мерой предосторожности.
Данный инцидент в очередной раз подчеркивает важность безопасности IoT и VoIP-устройств, которые часто воспринимаются как периферийные и менее критичные. Между тем, они становятся все более привлекательной целью для APT-групп и киберпреступников. Администраторам следует регулярно отслеживать обновления микропрограмм от вендоров, проводить аудит безопасности сетевых периферийных устройств и не пренебрегать базовыми принципами гигиены безопасности, такими как смена паролей по умолчанию и минимизация поверхности атаки. Ожидается, что в ближайшее время Yealink выпустит официальное исправление, и всем пользователям затронутой модели необходимо будет незамедлительно его установить.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-66738
- https://drive.google.com/file/d/13t5ywSPJMx4487njJcH3ZTNuc_k3h4ty/view?pli=1
