В конце 2025 года в Банке данных угроз безопасности информации (BDU) была зарегистрирована новая серьёзная уязвимость. Она затрагивает популярные модели IP-телефонов Yealink SIP-T21P E2. Эксперты присвоили проблеме идентификаторы BDU:2025-16476 и CVE-2025-66738. Уязвимость позволяет удалённому злоумышленнику полностью захватить контроль над устройством, что представляет высокий риск для корпоративных сетей.
Детали уязвимости
Проблема кроется в веб-интерфейсе микропрограммного обеспечения телефонов. Конкретно, это ошибка типа "Непринятие мер по очистке данных на управляющем уровне". На техническом языке подобные уязвимости часто называют инъекцией команд. Суть заключается в том, что устройство некорректно обрабатывает входящие данные. Следовательно, атакующий может отправить специально сформированный POST-запрос. В результате, этот запрос позволяет выполнить на телефоне произвольный код с правами администратора.
Уровень опасности уязвимости оценён как высокий. Базовые оценки по шкале CVSS составляют 9.0 для версии 2.0 и 8.8 для версии 3.1. Такие баллы указывают на критичность проблемы. Более того, для эксплуатации не требуется взаимодействия с пользователем. Злоумышленнику нужны лишь учётные данные для входа в веб-интерфейс, что в корпоративных сетях иногда бывает стандартным или слабым. После этого атакующий получает возможность выполнить код на устройстве.
Последствия успешной атаки могут быть катастрофическими. Устройство может быть полностью скомпрометировано. Например, злоумышленник может установить вредоносное ПО для скрытого прослушивания разговоров. Кроме того, возможна кража конфиденциальной информации или учётных данных. Также телефон может быть превращён в плацдарм для атак на другие узлы корпоративной сети. В худшем сценарии, группа устройств может быть объединена в ботнет.
Особую озабоченность вызывает тот факт, что, согласно данным BDU, эксплойт для этой уязвимости уже существует в открытом доступе. Другими словами, инструмент для атаки общедоступен. Это значительно снижает порог для киберпреступников. Поэтому организации, использующие уязвимые устройства, должны действовать незамедлительно.
На момент публикации новости статус уязвимости и информация об официальном исправлении от вендора, компании Yealink Network Technology Co., Ltd., уточняются. Известно, что проблема затрагивает версию микропрограммы 52.84.0.15. Однако, другие версии также могут быть подвержены риску. Следовательно, пока патч не выпущен, критически важно применять компенсирующие меры защиты.
Специалисты по кибербезопасности рекомендуют несколько ключевых действий. Прежде всего, необходимо ограничить доступ к веб-интерфейсам IP-телефонов. Идеально полностью закрыть к ним доступ из интернета. Доступ должен предоставляться только из доверенных сегментов сети. Кроме того, рекомендуется использовать схему "белых списков" для IP-адресов.
Также эффективной мерой может стать применение межсетевых экранов уровня веб-приложений. Эти системы способны фильтровать вредоносные HTTP-запросы. Параллельно, следует задействовать системы обнаружения и предотвращения вторжений (IDS/IPS). Они помогут выявить попытки эксплуатации уязвимости.
Для организации безопасного удалённого администрирования стоит использовать виртуальные частные сети. Важно отметить, что все перечисленные меры носят временный характер. Однако они существенно снижают риск до момента выхода официального обновления. Безусловно, после его появления прошивку на устройствах необходимо обновить в приоритетном порядке.
Данный случай вновь подсвечивает уязвимость периферийных сетевых устройств. IP-телефоны, камеры и принтеры часто остаются без должного внимания с точки зрения безопасности. Между тем, они имеют доступ к внутренней сети. Таким образом, их компрометация открывает путь для более глубокого вторжения. Регулярный аудит и обновление всего парка устройств должны быть неотъемлемой частью политики безопасности любой компании.
В заключение, уязвимость в IP-телефонах Yealink представляет собой реальную и непосредственную угрозу. Поскольку эксплойт общедоступен, количество атак может резко возрасти. Сотрудникам отделов информационной безопасности и сетевым администраторам рекомендуется провести инвентаризацию устройств. Далее, нужно незамедлительно применить компенсирующие меры и следить за новостями от вендора о выпуске патча.
Ссылки
- https://bdu.fstec.ru/vul/2025-16476
- https://www.cve.org/CVERecord?id=CVE-2025-66738
- https://drive.google.com/file/d/13t5ywSPJMx4487njJcH3ZTNuc_k3h4ty/view?pli=1
