⏰ TrueConf Server отвечает подробнее, чем нужно Эксперт СайберОК Роман Малов выявил уязвимость в TrueConf Server, связанную с некорректной обработкой ответов при аутентификации через LDAP, позволяющая злоумышленнику выявлять доменные учётные записи. 📊 Масштаб СКИПА фиксирует в Рунете около 6200 TrueConf в Рунете — около 23% из них подверженны COK-2025-10-23. Пользователи СКИПА PentOps были своевременно уведомлены. 🧩 Об уязвимости • COK-2025-10-23 / BDU:2025-16342 • CVSS 3.1 CVSS 3.1: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 🔸 5.3 — средний уровень опасности Ошибка позволяет удалённому нарушителю получать информацию о существовании доменных учётных записей на основе различий во времени ответа сервера. При использовании LDAP-авторизации TrueConf Server возвращает различающиеся ответы на запросы аутентификации. Анализ этих различий (timing-based enumeration, CWE-204) позволяет злоумышленнику перечислять действительные доменные учётные записи без наличия валидных учётных данных. 🖥 Уязвимые версии • Windows: до 5.5.2.10976 • Linux: до 5.5.2.10975 📉 Риски • Сбор списка «живых» доменных пользователей. • Повышение эффективности brute-force и credential stuffing атак. • Использование уязвимости как разведывательного этапа перед целенаправленными атаками. 🛠 Рекомендации • Обновить TrueConf Server до исправленных версий. • Ограничить доступ к эндпоинту /guest/auth/login с внешних IP. • Применить WAF-защиту и rate-limit для запросов аутентификации. • Исключить публикацию административной панели во внешнем контуре. • Обеспечить доступ к админ-панели только через VPN. • Настроить fail2ban или аналогичные механизмы защиты. ✅ Статус Уязвимость подтверждена производителем и устранена в актуальных версиях продукта. 🔗 Ссылки https://bdu.fstec.ru/vul/2025-16342