WatchTowr araştırmacısı Sonny Macdonald, Mitel MiCollab kurumsal iş birliği paketindeki sıfır gün güvenlik açığından, hassas veriler içeren dosyaları okumak için yararlanılabileceğini açıkladı ve bunu, bu sıfır-günlük güvenlik açığını birbirine zincirleyen bir kavram kanıtlama (PoC) istismarı yayınlayarak takip etti. CVE-2024-41713 içeren günlük dosya okuma güvenlik açığı, saldırganların kimlik doğrulamasını atlamasına olanak tanıyor.
MiCollab kullanıcılarının hassas bilgilerini almak için sıfır gün ve PoC
Perşembe günü yayınlanan bir blog yazısında Macdonald, watchTowr’un bu yılın başlarında giderilen bir MiCollab SQL enjeksiyon güvenlik açığı olan CVE-2024-35286’yı yeniden üretme arayışını ve aşağıdaki keşifleri anlatıyor:
- CVE-2024-41713, ek bir kimlik doğrulama atlama güvenlik açığı (Mitel daha sonra Ekim ayında yama yaptı) ve
- CVE numarası olmadan sıfır günü okuyan rastgele bir dosya (Mitel’in Aralık 2024’ün ilk haftasında yayınlanacağını söylediği bir yama)
Sıfır gün yalnızca kimliği doğrulanmış saldırganlar tarafından kullanılabilir, dolayısıyla PoC’de CVE-2024-41713 ile zincirlenir. Ancak bu gereksinim karşılanırsa saldırganlar aşağıdaki gibi hassas dosyalara gidebilir ve bunlara erişebilir: /etc/passwd.
Araştırmacılar kusuru kamuoyuna açıkladılar çünkü bunu üç aydan fazla bir süre önce bildirmişlerdi. Mitel’in önümüzdeki günlerde bir düzeltme yayınlamasını umuyoruz.
Risk azaltma
MiCollab’ı 9.8 SP2 (9.8.2.12) veya sonraki bir sürüme yükseltmek veya 9.7 ve üzeri sürümler için bir yama uygulamak CVE-2024-41713’ü düzeltir ve böylece watchTowr’un PoC’sini felce uğratır. Ancak Mitel, CVE’siz sıfır gün sorununu düzeltene kadar saldırganlar bunu kötüye kullanmaya devam edebilir.
Kuruluşlar mevcut en yeni yamaları uygulayabilir ve Mitel sıfırıncı günü yamaladığında süreci tekrarlayabilir. Savunmasız sunuculara yalnızca güvenilir IP aralıklarından ve dahili ağlardan erişime izin vermek de bunların (ve diğer kusurların) kötüye kullanılması riskini en aza indirmek için iyi bir fikirdir.
Macdonald’a göre internette 16.000’den fazla MiCollab örneği var.
“MiCollab, uç noktalara konuşlandırılan bir yazılım telefonu uygulamasından ve uç noktalar arasında ve aynı zamanda dış dünyayla yapılan telefon çağrılarını koordine edebilen merkezi bir sunucu bileşeninden oluşuyor. Mini bir telefon santralına benzer ve beklediğiniz özelliklere sahiptir: sesli posta, dosya paylaşımı ve hatta kullanıcıların birbirlerine ne yaptıklarını gösterebilmeleri için masaüstü paylaşımı. ‘Masaüstü paylaşımı’ gibi özelliklerin tehlikeye atılmasının ne kadar tehlikeli olduğu açık olsa da, genellikle telefon işlevinin maruz kaldığı daha büyük tehlikeler vardır” diye ekledi.