Банк данных угроз безопасности информации (BDU) подтвердил и внес в свой реестр под идентификатором BDU:2026-04607 критическую уязвимость в программном обеспечении TrueConf Server. Данный продукт, разработанный российской компанией ООО «Труконф» и включенный в единый реестр российских программ, широко используется для организации защищенных видеоконференций и корпоративных коммуникаций. Уязвимость, связанная с классической атакой типа SQL-инъекция, позволяет удаленному злоумышленнику выполнить произвольный код на сервере, что ставит под угрозу конфиденциальность и целостность всех обрабатываемых данных.
Детали уязвимости
Техническая суть проблемы заключается в недостаточной проверке входных данных в одном из прикладных программных интерфейсов (API) TrueConf Server. Согласно классификации Weakness Enumeration (CWE), ошибка отнесена к классу CWE-89, что означает непринятие мер по защите структуры запроса SQL. Проще говоря, специально сформированные запросы к API могут быть интерпретированы как команды для базы данных. В результате атакующий получает возможность не только читать или модифицировать содержимое базы, но и, в данном случае, выполнять произвольные команды на операционной системе сервера с максимальными привилегиями.
Уровень опасности уязвимости оценивается как критический по всем основным метрикам. Система оценки CVSS версии 3.1 присвоила ей базовый балл 9.8 из 10. Ключевые параметры вектора атаки (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) расшифровываются следующим образом: для эксплуатации не требуется физический доступ к системе (Network), атака не предполагает сложных подготовительных условий (Low), аутентификация не нужна (None), взаимодействие с пользователем не требуется (None). При этом последствия максимально тяжелые: полная компрометация конфиденциальности (High), целостности (High) и доступности (High) данных и системы.
Уязвимость затрагивает версию TrueConf Server 5.2.0.10225. Производитель подтвердил проблему и оперативно выпустил исправление. Согласно информации в БДУ, уязвимость была устранена. Компания «Труконф» рекомендует всем пользователям незамедлительно обновиться до актуальной версии, информацию о которой можно найти в официальном журнале изменений на сайте производителя. При этом важно отметить, что на момент публикации новости данные о наличии активных эксплойтов, использующих эту уязвимость, уточняются. Однако высокая степень опасности и простота эксплуатации подобных SQL-инъекций делают затягивание с обновлением крайне рискованной практикой.
Данный инцидент также получил международный идентификатор CVE-2022-46764. Эксперты в области кибербезопасности отмечают, что инцидент с TrueConf Server является типичным примером того, как уязвимости на уровне приложения могут привести к полному захвату контроля над системой. Угроза внедрения вредоносного кода через уязвимый API особенно опасна в программном обеспечении, которое обрабатывает чувствительные данные, включая аудио- и видеопотоки, текстовые сообщения и списки контактов. Успешная атака может привести не только к утечке информации, но и к установке на сервер программ-вымогателей (ransomware) или скрытых бэкдоров для долговременного присутствия (persistence) в инфраструктуре жертвы.
Таким образом, администраторам, использующим TrueConf Server, необходимо в приоритетном порядке проверить версию развернутого ПО и выполнить обновление согласно рекомендациям вендора. Кроме того, данный случай лишний раз подтверждает необходимость реализации многоуровневой защиты. Помимо своевременного обновления ПО, эффективными мерами могут стать применение межсетевых экранов веб-приложений (WAF), регулярный аудит кода на наличие уязвимостей и принцип минимальных привилегий для всех сервисов. Постоянный мониторинг источников, таких как BDU и базы данных CVE, остается критически важным элементом профилактики серьезных инцидентов информационной безопасности.
Ссылки
- https://bdu.fstec.ru/vul/2026-04607
- https://www.cve.org/CVERecord?id=CVE-2022-46764
- https://trueconf.ru/products/changelog.html#server-5-2-6
- https://github.com/sldlb/public_cve_submissions/blob/main/CVE-2022-46764.txt
