Группа исследования уязвимостей BI.ZONE провела анализ платформы ВКС VINTEO. По результатам исследования разработчик выпустил обновление, усиливающее защищенность системы.VINTEO — российское решение для видео-конференц-связи профессионального класса, которое используют коммерческие компании и государственный сектор. По данным разработчика, в VINTEO было проведено более 10 миллионов видеоконференций.
В июне 2025 года специалисты группы исследования уязвимостей BI.ZONE обнаружили уязвимости BDU:2025-06786 и BDU:2025-06787 и сообщили о них разработчику. Для устранения потенциальных рисков специалисты VINTEO оперативно выпустили обновление ПО версии 30.2.29 и развернули обновление для всех пользователей.
Атакующий при наличии учетной записи в сервисе мог захватить контроль над учетными записями, используя BDU:2025-06786. Захватив учетную запись с правами администратора, злоумышленник мог воспользоваться BDU:2025-06787, которая позволяет исполнять произвольный код в системе.
Павел Блинников, руководитель группы исследования уязвимостей, BI.ZONE:
Необходимо особо внимательно относиться к ПО, которое установлено на периметре компании. Злоумышленники постоянно ищут уязвимости для проникновения в инфраструктуру. Поэтому важно выстраивать концепцию защиты по принципу, что каждый хост может быть уязвим. Нужно корректно разграничивать сетевую связность, а также пользоваться наложенными средствами защиты для предотвращения и детектирования атак. Среди таких решений — WAF и EDR.
Обновление сервера ВКС VINTEO до версии 30.2.29 устраняет уязвимости. Для дополнительной защиты специалисты рекомендуют использовать BI.ZONE WAF. Правила сервиса детектируют и блокируют попытки атак, не нарушая логику веб-
приложения.
Cотрудничество BI.ZONE и VINTEO демонстрирует эффективность модели ответственного раскрытия уязвимостей и приверженность компаний обеспечению высоких стандартов безопасности.