Mitel’in MiCollab birleşik iletişim ve işbirliği (UCC) platformundaki iki yeni güvenlik açığı, büyük miktarda kurumsal verinin açığa çıkmasına yardımcı olabilir.
MiCollab, mobil cihazlarda ve masaüstü bilgisayarlarda anlık mesajlaşmayı, SMS’i, telefon çağrılarını, görüntülü aramaları, dosya paylaşımını, uzak masaüstü paylaşımını, yani yüksek sesle konuşmak dışında bir kuruluş içinde gerçekleşen her türlü işbirliğini birleştiren çapraz platformlu bir uygulamadır. Kuruluşlar, günlük iş operasyonlarında ve her zaman büyük miktarda kişisel verileri ve iletişim verilerini barındırmak için buna büyük ölçüde güveniyor.
Bu yılın başlarında keşfedildiğinde CVE-2024-35286’yı bu kadar elverişsiz kılan şey de buydu. Kullanıcı girişi temizleme eksikliğinden kaynaklanan bu SQL enjeksiyon güvenlik açığı, saldırganların önemli iş verilerine erişmesine ve veritabanı ve yönetim işlemlerini istedikleri zaman yürütmesine nasıl izin verdiği açısından Ortak Güvenlik Açığı Puanlama Sisteminde (CVSS) “kritik” 9,8 puan aldı. Ancak bir sorun da vardı: Hazinenin bulunduğu savunmasız son noktaya ulaşmak için özel bir konfigürasyon gerekiyordu.
Yeni bir blog yazısında watchTowr araştırmacıları, açıklanmayan yapılandırmaya atıfta bulunarak “Hiçbir mantıklı yönetici bunu yapmaz”, dolayısıyla güvenilir kuruluşlara yönelik riskin düşük olduğunu belirtti. Ancak araştırmacılar keşfetmeye devam etti yol geçiş güvenlik açığı MiCollab’da – üçüncü, rastgele dosya okuma güvenlik açığından bahsetmeye bile gerek yok – bu da tek savunmayı tartışma konusu haline getirdi.
Yeni MiCollab İstismar Zinciri
Altı yıl önce Black Hat’te Orange Tsai takma adını kullanan bir araştırmacı, Web uygulamalarının nasıl ele alındığıyla ilgili sorunları açığa çıkaran bir araştırma sundu. yol normalizasyonu. Saldırganlar, URL’lerde özel karakterler kullanarak Web sunucularını kandırarak erişememeleri gereken dosyalara ve dizinlere erişmelerini sağlayabilir.
WatchTowr’dan araştırmacılar, CVE-2024-35286 ile uğraşırken bu mantığı teste tabi tuttu. MiCollab için 2009’da Web’de yayınlanan bir Apache yapılandırmasıyla çalışırken, savunmasız uç noktaya (NuPoint’ten “/npm-admin”) giden yolda tüm engelleri aşmak için “..;/” girişini kullanabileceklerini keşfettiler. Platformun Birleşik Mesajlaşma (UM) bileşeni — kimlik doğrulama gerektirmez. Bu yığılmış güvenlik açığı CVE-2024-41713 olarak kabul edildi ve 7,5 gibi “yüksek” bir CVSS puanı verildi.
CVE-2024-41713, eski CVE-2024-35286’ya yeni bir hayat verdi ve ardından araştırmacılar, bir CVE etiketi veya CVSS puanı atanmamış, rastgele dosya okumaya izin veren başka bir sıfır gün keşfetti. Üçü bir arada en iyi şekilde çalışır: İlk erişimi kolaylaştıran CVE-2024-41713, sistemdeki dosyalara görünürlük sağlayan rastgele dosya okuma sorunu ve bunlar üzerinde herhangi bir sayıda kötü amaçlı işlemi mümkün kılan CVE-2024-35286. WatchTowr ise bir yayın yayınladı. kavram kanıtından (PoC) yararlanma ilk ikisini birleştiren GitHub’a.
Qualys Tehdit Araştırma Birimi güvenlik araştırması müdürü Mayuresh Dani, “Kamu kaynaklarına göre, kamuya açık 10.000’den fazla Mitel MiCollab cihazı var” diyor. “NuPoint Unified Messaging’in (NPM) etkinleştirilmesi koşuluyla, uzak bir tehdit aktörü CVE-2024-41713’ü kullanabilir ve [file-read] Etkilenen cihazlardaki rastgele dosyalara erişmek için sıfır gün.”
Kavram kanıtlama kodunun yaptığı şeyin de tam olarak bu olduğunu ekliyor. “Bunu, npm-pwg dizinine erişerek ve normalde sistem raporları oluşturmak için kullanılan Uzlaştırma Sihirbazı’nı çağırarak yapıyor. Saldırgan, cihazda kimlik doğrulama bilgilerini içeren hassas dosyaları ele geçirirse, bu, cihaza erişim sağlamak için kullanılabilir. cihaz ve muhtemelen savunmasız örnek üzerinden akan konuşmaları gözetliyor.”
Kurumsal İletişimleri Hacklemek
Bir çalışanın gelen kutusuna patronundan bir e-posta gelir. “Merhaba, lütfen yüklenicimize şu adresten bir ödeme gönderin: [bank account number] Derhal.” Çalışanlara bu tür dolandırıcılıkları tespit etmek için söylenen ilk şey, e-postanın meşruiyetini doğrulamak için patronlarını aramaktır. Peki ya telefon sistemleri ihlal edilirse?
Critical Start siber tehdit araştırmaları kıdemli yöneticisi Callie Guenther, “Mitel MiCollab’daki güvenlik açıkları, saldırganların hassas sistemlere erişim sağlamak için iletişim platformlarını hedef alma eğiliminin arttığını gösteriyor” diyor. Saldırganlar, bir kuruluşun merkezi iletişim hatlarını ele geçirmenin veya engellemenin, çalışanları gözetlemenin veya genel bir hasara yol açmanın yanı sıra, herhangi bir sayıda başka türde siber saldırıyı kolaylaştırmak için MiCollab gibi bir platformu da kullanabilir. “Geçmişte de benzer konulardan yararlanılmıştı. 2022 Mitel MiVoice Connect güvenlik açığı (CVE-2022-29499)fidye yazılımı gruplarının Web kabuklarını dağıtmak ve ağlar arasında yanal olarak hareket etmek için kullandığı .
Her iki CVE’ye de 9 Ekim itibarıyla yama uygulandı. Mitel, keyfi dosya okuma hatasını kabul etti, ancak yayınlandığı sırada henüz yama yapmamıştı. Ancak bu son sorundan yararlanmak için kimlik doğrulaması gerektiğinden, MiCollab’ın güncel olduğu kuruluşlar çoğunlukla kapsanmaktadır.