Sus reuniones de equipo podrían hacerse públicas (si no actualiza Yealink)
Expertos de Positive Technologies descubren dos vulnerabilidades en una popular plataforma de videollamadas.
Las vulnerabilidades en los servicios corporativos de videoconferencia rara vez se convierten en una noticia visible hasta el primer incidente grave. En el caso de Yealink Meeting Server se logró detener un escenario peligroso con antelación: los especialistas de Positive Technologies encontraron dos problemas en el sistema y comunicaron los datos al desarrollador, tras lo cual el proveedor lanzó una versión corregida.
Positive Technologies informó sobre la corrección de dos vulnerabilidades en el software Yealink Meeting Server. Se trata de las fallas PT-2025-54940 y PT-2025-54941, a las que se les asignaron 8,8 y 5,3 puntos en la escala CVSS 3.1. Según la compañía, la combinación de las dos brechas abría el camino para la toma de control del servidor de videoconferencias con privilegios máximos.
PT-2025-54941 permitía extraer información confidencial, incluidas las credenciales de los usuarios. PT-2025-54940 estaba relacionada con la inyección de comandos y daba a un atacante remoto autorizado la posibilidad de ejecutar código malicioso en el servidor. Como explicó Egor Dimitrenko de PT SWARM, el atacante podría primero obtener las credenciales mediante una vulnerabilidad y luego utilizar la segunda para obtener el control total del sistema.
Ese tipo de acceso no solo suponía el riesgo de interceptación de las comunicaciones para las empresas. Un servidor de videoconferencia comprometido podría convertirse en un punto de entrada a la red corporativa, desde donde los atacantes desarrollarían una continuación del ataque contra la infraestructura interna. Entre las posibles consecuencias, Positive Technologies menciona filtraciones de datos, pérdidas financieras y fallos en el funcionamiento de procesos empresariales clave.
Estaban en riesgo todas las versiones de Yealink Meeting Server anteriores a la 26.0.0.69, y la situación era especialmente peligrosa para las organizaciones cuyos servidores son accesibles desde Internet. Según Positive Technologies, en el mundo aún permanecen vulnerables 692 servidores Yealink Meeting. La mayor cantidad de estos sistemas se registró en China, Polonia y Rusia.
Yealink ya ha publicado actualizaciones y recomienda a los clientes que actualicen lo antes posible a una versión segura igual o superior a la 26.0.0.69. En Positive Technologies añadieron que en los últimos dos años el equipo de la compañía ya ha ayudado por tercera vez a corregir fallas peligrosas en Yealink Meeting Server. En 2024, con la participación de Egor Dimitrenko se cerraron otras dos vulnerabilidades que también podrían haberse utilizado en cadenas de ataque para robar credenciales y ejecutar código arbitrario.