Create: Update:
В случае ее успешной эксплуатации злоумышленник мог бы установить полный контроль над системой, чтобы успешно развить атаку.
Eltex — российский производитель телекоммуникационного оборудования. По данным компании, ее решения используют более 20 000 российских и зарубежных организаций.
Уязвимость BDU:2025-01096 получила 9,8 балла по шкале CVSS 3.0. Недостаток содержался в транковых шлюзах SMG-1016M, SMG-2016, SMG-3016, а также в двух моделях АТС, действующих на основе межсетевого протокола IP, — SMG-200 и SMG-500.
«Уязвимость BDU:2025-01096 гипотетически могла бы позволить злоумышленнику без аутентификации действовать по самым разным сценариям. Например, внедрить бэкдор, чтобы сохранить доступ к системе даже после исправления ошибки. Если бы устройство находилось на внешнем периметре организации, атака могла бы развиться во внутреннюю сеть. В ряде случаев мог бы даже возникнуть риск нарушения бизнес-процессов», — рассказывает Никита Петров.
Мы сообщили вендору о найденной ошибке, и сейчас она устранена. Eltex рекомендует клиентам обновить встроенное ПО до версии не ниже 3.23.1 либо 3.405.1 в зависимости от модели оборудования.
Также эксперты советуют вывести уязвимое оборудование с внешнего периметра организации и использовать устройства SMG в публичной сети только при наличии дополнительных инструментов защиты, например средств анализа сетевого трафика.
#PositiveЭксперты
@Positive_Technologies
