Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Обнаружена уязвимость нулевого дня на платформе Mitel MiCollab

09/12/24

images (31)

Совместно с ранее исправленной критической уязвимостью ошибка открывает злоумышленникам доступ к конфиденциальным данным на уязвимых системах. Для демонстрации угрозы был опубликован PoC-эксплойт после более чем 100 дней ожидания исправления от разработчиков, пишет Securitylab.

Mitel MiCollab — инструмент корпоративного взаимодействия, используемый для общения сотрудников и клиентов через голосовую связь, видеоконференции, чаты, обмен файлами и другие функции. Свыше 16 000 экземпляров системы находятся в открытом доступе, что делает MiCollab привлекательной целью для хакеров и вымогателей.

В мае исследователи watchTowr обнаружили критическую уязвимость CVE-2024-35286 (оценка CVSS: 9.8) в компоненте NuPoint Unified Messaging (NPM) платформы MiCollab, которая позволяла неавторизованным пользователям получать доступ к чувствительной информации и выполнять операции с базой данных. Недостаток был исправлен в мае.

Позднее команда выявила еще одну уязвимость в компоненте NPM ( CVE-2024-41713 , оценка CVSS: 7.5), вызванную недостаточной проверкой входных данных. Проблема открывала возможность обхода аутентификации и позволяла хакерам просматривать, изменять или удалять данные пользователей и системные конфигурации. Исправление было выпущено в октябре.

В процессе изучения данных ошибок исследователи выявили третью уязвимость, которая пока не получила CVE-идентификатор и остаётся неустранённой. Проблема позволяет аутентифицированным пользователям читать произвольные файлы, включая критически важные системные, например «/etc/passwd». Для обхода аутентификации исследователи объединили эту уязвимость с CVE-2024-41713 в рамках своего PoC.

Исследователи сообщили о проблеме 26 августа. В октябре Mitel обещала выпустить обновление в первую неделю декабря, однако исправление до сих пор не представлено. В watchTowr заявили, что, учитывая отсутствие обновлений спустя более 100 дней с момента уведомления, информация о проблеме была включена в публичный отчет.

Темы:УгрозыPoC-эксплоиты0Day-уязвимостиwatchTowr Labs
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...