Vulnerabilità critiche e zero-day nei prodotti Mitel MiCollab

Sono state identificate e sfruttate attivamente tre vulnerabilità nei prodotti Mitel MiCollab, una piattaforma di comunicazione unificata utilizzata da aziende per voce, video, messaggistica e collaborazione.

Le vulnerabilità includono due falle note con CVE assegnati (CVE-2024-41713 e CVE-2024-35286) e una vulnerabilità zero-day ancora senza CVE.

Dettagli delle Vulnerabilità

• CVE-2024-41713 (Path Traversal):
  • Gravità: Critica (CVSS 9.8).
  • Descrizione: Consente a un attaccante remoto non autenticato di eseguire un attacco di path traversal, accedendo a file sensibili sui server.
  • Impatto: Accesso non autorizzato a dati riservati, configurazioni di sistema e possibilità di eseguire azioni amministrative non autorizzate.
  • Mitigazione: Patch disponibile a partire da MiCollab versione 9.8 SP2 (9.8.2.12).
     
• VE-2024-35286 (SQL Injection):
  • Gravità: Critica (CVSS 9.8).
  • Descrizione: Permette l'iniezione SQL nel componente NuPoint Unified Messaging (NPM), consentendo l'accesso a database sensibili e l'esecuzione di operazioni amministrative non autorizzate.
  • Impatto: Esfiltrazione di dati, modifica o cancellazione di informazioni critiche.
  • Mitigazione: Patch rilasciata a maggio 2024.
     
• Zero-day (Arbitrary File Read):
  • Gravità: Moderata.
  • Descrizione: Permette a un attaccante autenticato di leggere file arbitrari sul server tramite manipolazione dei parametri HTTP.
  • Impatto: Accesso a file sensibili senza possibilità di escalation dei privilegi o modifica dei dati.
  • Stato: Non ancora risolta; mitigazione parziale con aggiornamenti recenti.

Modalità di Sfruttamento
Un Proof-of-Concept (PoC) pubblicato dai ricercatori dimostra come queste vulnerabilità possano essere combinate per ottenere un accesso significativo ai sistemi vulnerabili.

Gli attacchi sono stati osservati contro organizzazioni governative e aziende private.

Fonti: CSIRT Italia, TheHackerNews, Gov.Au