Команда дослідників WatchTowr Labs виявила критичну вразливість у популярній платформі корпоративних комунікацій Mitel MiCollab. Вразливість, зареєстрована під ідентифікатором CVE-2024-41713, отримала критичний рівень загрози з оцінкою 9,8 за шкалою CVSS, що свідчить про серйозну небезпеку для корпоративних інформаційних систем.
Технічний аналіз вразливості
Виявлена вразливість локалізується в компоненті NuPoint Unified Messaging (NPM) та пов’язана з недостатньою валідацією вхідних даних. Основний вектор атаки базується на техніці path traversal, що дозволяє зловмисникам отримати несанкціонований доступ до кореневої директорії сервера без проходження автентифікації. Особливо небезпечним є те, що експлуатація вразливості не потребує спеціальних привілеїв.
Взаємозв’язок з іншими вразливостями
Дослідження показало, що CVE-2024-41713 має прямий зв’язок з раніше виявленою вразливістю CVE-2024-35286, яка дозволяла проводити SQL-ін’єкції. Додатково експерти виявили невиправлену 0-day вразливість, яка у поєднанні з CVE-2024-41713 створює комплексну загрозу для безпеки корпоративних систем.
Потенційні наслідки для бізнесу
Успішна експлуатація вразливості може призвести до компрометації конфіденційних даних та отримання зловмисниками контролю над серверами MiCollab. Це створює ризики витоку корпоративної інформації, порушення роботи комунікаційних систем та потенційного фінансового збитку для організацій.
Рекомендації щодо захисту
Компанія Mitel випустила оновлення безпеки у версії MiCollab 9.8 SP2 (9.8.2.12), яке усуває виявлену вразливість. Щодо 0-day вразливості, розробники підтвердили її наявність, але зазначили обмежений вплив на безпеку системи через відсутність можливості модифікації файлів та підвищення привілеїв.
Для забезпечення безпеки корпоративних систем рекомендується негайно оновити програмне забезпечення Mitel MiCollab до найновішої версії. Також важливо впровадити комплексний підхід до моніторингу безпеки, включаючи регулярний аудит систем, налаштування систем виявлення вторгнень та навчання персоналу з питань інформаційної безпеки.
