11/09/25
Старший специалист экспертного центра безопасности Positive Technologies (PT ESC) Максим Суслов выявил четыре опасные уязвимости в почтовом сервере CommuniGate Pro. Производитель был своевременно уведомлен в рамках политики ответственного разглашения и уже выпустил обновления, устраняющие недостатки. Потенциальная эксплуатация уязвимостей могла создать риски предоставления доступа к конфиденциальной информации и нарушения работы внутренних систем организаций.
CommuniGate Pro — это отечественное решение для корпоративных коммуникаций. Платформа включает серверные и клиентские компоненты, обеспечивающие защищенную почту, мессенджер, видеосвязь, контакт-центры и интеграцию с популярными клиентами, такими как Microsoft Outlook и Thunderbird. Компания «СБК» («Система безопасных коммуникаций») развивает данный продукт с 2023 года. Данное решение используют крупные государственные организации, корпорации и телеком-операторы. По данным «СБК», CommuniGate Pro развернут в 53 странах и обслуживает свыше 135 млн учетных записей.
Уязвимости обнаружены в версии 6.5.1 и в более ранних версиях предыдущего правообладателя. Для их исправления пользователям необходимо как можно скорее обновить ПО до версии не ниже 6.5.1hotfix1, доступной для свободного скачивания с сайта компании-производителя (www.communigatepro.ru). Если такой возможности нет, в Positive Technologies рекомендуют ограничить доступ к CommuniGate Pro из недоверенных сетей.
«До устранения эти пробелы в защите потенциально позволяли злоумышленникам получить несанкционированный доступ к данным, отправлять фишинговые письма от чужого имени и даже захватить полный контроль над почтовым сервером, — отметил Максим Суслов, старший специалист PT ESC. — Если бы атакующим удалось ими воспользоваться, могли бы возникнуть инциденты, связанные с масштабными утечками конфиденциальной информации и компрометацией части корпоративной IT-инфраструктуры».
«Безопасность и надёжность CommuniGate Pro подтверждены многолетней эксплуатацией в крупнейших организациях государственного и корпоративного сектора. Обнаруженные дефекты касались модулей, разработанных более пяти лет назад другой командой, и являются частью естественного процесса развития сложных программных продуктов. Все выявленные уязвимости были устранены в кратчайшие сроки: в среднем за две недели с выпуском обновлений и прохождением полного цикла тестирования. Мы последовательно усиливаем процессы безопасной разработки и привлекаем лучших специалистов, чтобы постоянно повышать у наших заказчиков уровень доверия к продукту», - подчеркнул Александр Буравцов, директор по информационной безопасности CommuniGate Pro.
Наиболее серьезный из найденных недостатков безопасности — PT-2025-21649[1] (BDU:2025-02495) — имеет критически высокий уровень угрозы (9,3 балла по шкале CVSS 4.0). Ошибка заключается в потенциальной возможности выполнить вредоносный код и получить полный контроль над системой.
Следующим двум уязвимостям — PT-2025-20235 (BDU:2025-01798) и PT-2025-30037 (BDU:2025-08669) — присвоена высокая степень опасности (8,7 балла по шкале CVSS 4.0). Они представляют собой уязвимости типа SSRF[2] и связаны с отсутствием корректной проверки прав в одном из методов при отправке почты. В случае успешной эксплуатации они могли бы позволить злоумышленнику подделывать внутренние запросы системы и рассылать письма от имени любого пользователя.
Последний устраненный недостаток PT-2025-20237 (BDU:2025-01820), набравший 6,9 балла по шкале CVSS 4.0, теоретически давал атакующему возможность получить доступ к любым файлам на сервере, включая личные письма пользователей. С большой вероятностью похищенные данные в дальнейшем использовались бы злоумышленниками для мошенничества, шантажа либо продажи на черном рынке.
Positive Technologies регулярно сотрудничает с отечественными производителями систем видео-конференц-связи в вопросах повышения безопасности их решений. В этом году при участии исследователей компании были исправлены дефекты в системах «Яндекс Телемост», VINTEO и TrueConf Server.
Для комплексной защиты от названных уязвимостей необходимо задействовать продукты класса EDR, например MaxPatrol EDR, — для блокировки подозрительных действий на конечных устройствах. Для детектирования недостатков безопасности в IT-инфраструктуре используйте MaxPatrol VM. Продвинутые продукты классов NTA/NDR, например PT Network Attack Discovery, детектируют попытки эксплуатации этих уязвимостей, а продукты класса NGFW, такие как PT NGFW, блокируют их. Защититься от эксплуатации этих ошибок помогут межсетевые экраны уровня веб-приложений, такие как PT Application Firewall, у которого также есть облачная версия — PT Cloud Application Firewall. Существенно снизить риски можно используя системы для выявления потенциальных маршрутов кибератак и автоматизации непрерывного контроля киберустойчивости (MaxPatrol Carbon).
Узнавать об актуальных недостатках безопасности можно на портале dbugs, где аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира и приводятся рекомендации вендоров по их устранению.
