Обзор безопасности VoIP за 2025 год | Новости

20 декабря 2025, 11:30

Подводим обзор за весь год, лучшие и худшие показатели безопасности RTC в 2025 году:

Плохие новости:
- Yealink снабдила каждый VoIP-телефон копией закрытого ключа своего центра сертификации, который по замыслу не может быть обновлён;
- В течение 9 месяцев утечка данных из Ribbon C
ommunications оставалась незамеченной при поставках в AT&T, Verizon и Министерство обороны - уязвимость нулевого дня во FreePBX активно использовалась в дикой природе.

Хорошие:
- Выпущена версия OWASP ASVS v5, в которой есть специальная глава о безопасности WebRTC
- Опубликован RFC 9725 (WHIP) со встроенными средствами защиты
- Asterisk добавил аутентификацию по протоколам SHA-256/SHA-512 (наконец-то преодолев MD5)

Также в этом выпуске:
- Наши рекомендации по отказу в обслуживании в SIPGO - эта библиотека поддерживает SIP-интерфейс OpenAI в реальном времени
- Дополнительные уязвимости FreePBX: обход аутентификации и внедрение SQL-кода;
- Анализ VoIP-протокола Tin Can: секретные вопросы, которые родители должны задавать об игрушках, подключенных к Интернету.
- Критические уязвимости в Fanvil X210, включая неавторизованный RCE.