Специалисты по информационной безопасности из WatchTowr Labs обнаружили серьезную уязвимость в популярной корпоративной платформе Mitel MiCollab. Выявленная проблема получила идентификатор CVE-2024-41713 и максимальную оценку опасности 9,8 баллов по шкале CVSS, что указывает на критический уровень угрозы для корпоративных систем.
Особенности уязвимости и механизм эксплуатации
Уязвимость затрагивает компонент NuPoint Unified Messaging (NPM) и связана с недостаточной валидацией входных данных. Злоумышленники могут использовать технику path traversal для несанкционированного доступа к корневой директории сервера. Особую опасность представляет возможность получения доступа к конфиденциальным файлам без необходимости аутентификации.
Комплексная угроза и связанные уязвимости
Исследователи обнаружили CVE-2024-41713 во время анализа ранее выявленной уязвимости CVE-2024-35286, которая позволяла проводить SQL-инъекции. Эксперты также выявили неисправленную 0-day уязвимость, которая в сочетании с CVE-2024-41713 расширяет возможности злоумышленников по извлечению конфиденциальных данных.
Влияние на безопасность корпоративных систем
По данным разработчиков Mitel, успешная эксплуатация уязвимости может привести к серьезным последствиям для безопасности системы. Злоумышленники получают возможность доступа к пользовательским данным и выполнения несанкционированных административных действий на сервере MiCollab.
Меры по устранению уязвимости
Компания Mitel выпустила обновление безопасности в версии MiCollab 9.8 SP2 (9.8.2.12), которое устраняет уязвимость CVE-2024-41713. Что касается обнаруженной 0-day уязвимости локального чтения файлов, разработчики подтвердили ее наличие, но отметили, что она ограничена доступом только к неконфиденциальной системной информации и не позволяет модифицировать файлы или повышать привилегии.
Всем организациям, использующим Mitel MiCollab, настоятельно рекомендуется незамедлительно обновить программное обеспечение до последней версии для минимизации рисков безопасности. Также важно регулярно проводить аудит безопасности корпоративных систем и следить за выпуском новых обновлений безопасности.
