Araştırmacılar, Mitel MiCollab işbirliği platformunda, saldırganların sunucunun dosya sistemindeki dosyalara erişmesine olanak tanıyan, sıfırıncı gün okunan rastgele bir dosyayı ortaya çıkardı.
Mitel MiCollab, çeşitli iletişim araçlarını tek bir uygulamada birleştiren, sesli ve görüntülü arama, mesajlaşma, durum bilgisi, sesli konferans, mobilite desteği ve ekip işbirliği işlevleri sunan kurumsal bir işbirliği platformudur.
Büyük şirketler, küçük ve orta ölçekli işletmeler ve uzaktan veya hibrit iş gücü modeliyle faaliyet gösteren şirketler de dahil olmak üzere çeşitli kuruluşlar tarafından kullanılmaktadır.
Üründeki en son güvenlik açığı, watchTowr’daki araştırmacılar tarafından keşfedildi; satıcıya ağustos ayından bu yana bildirimde bulunmasına rağmen, 90 gün boyunca açıklanıp yama beklendikten sonra hala çözülmedi.
“watchTowr, yeni güvenlik açığı hakkında 26 Ağustos’ta Mitel ile temasa geçti. Mitel, watchTowr’a Aralık 2024’ün ilk haftasında yama yapma planları hakkında bilgi verdi. Yayımlandığı sırada Mitel Güvenlik Danışma sayfasında herhangi bir güncelleme yoktu.” bugün yayınlanan bir watchTowr raporunu açıkladı.
Yenisini ortaya çıkarmak için geçmiş kusurlara bakmak
Henüz kendisine atanmış bir CVE tanımlayıcısı olmayan en son sıfır gün, MiCollab’da daha önce bildirilen güvenlik açıkları araştırılırken, yol geçişi ve giriş manipülasyon teknikleri denenirken keşfedildi.
Özellikle araştırmacılar, Mitel’in 23 Mayıs’ta düzelttiği bir SQL enjeksiyon hatası olan CVE-2024-35286’yı ve satıcı tarafından 9 Ekim’de ele alınan bir kimlik doğrulama atlama sorunu olan CVE-2024-41713’ü araştırıyorlardı.
Daha önce belgelenmeyen kusur, ‘ReconcileWizard’ sunucu uygulaması incelenirken, XML tabanlı bir API isteğinin ‘reportName’ parametresine bir yol geçiş dizesi (../../../) enjeksiyonu gerçekleştirilirken keşfedildi.
Bu, araştırmacıların sistemdeki hesaplar hakkında hassas bilgiler içeren ‘/etc/passwd’ gibi hassas dosyalara erişebilmesiyle sonuçlandı.
WatchTowr’un yazısının bir parçası olarak kusurdan nasıl yararlanılacağına dair bir kavram kanıtı yayınlandı.
Teknik olarak diğer iki güvenlik açığından daha az kritik olmasına rağmen sıfır gün, yetkisiz kullanıcıların hassas sistem dosyalarına erişmesine izin verdiği için önemli bir tehdit olmaya devam ediyor.
Ayrıca MiCollab yakın geçmişte yine tehdit aktörleri tarafından hedef alındı, dolayısıyla bu riski göz ardı etmek ihtiyatlı bir yaklaşım değil.
Savunma önerileri
Güvenlik açığı henüz giderilmediğinden MiCollab’ı kullanan kuruluşlar açıkta kalmaya devam ediyor ve azaltıcı önlemleri derhal uygulamalıdır.
Göz önünde bulundurulması gereken önlemler şunları içerir:
- MiCollab sunucusuna erişimi yalnızca güvenilir IP aralıkları veya dahili ağlarla sınırlayın.
- Uygulamaya yetkisiz harici erişimi önlemek için güvenlik duvarı kurallarını uygulayın.
- ReconcileWizard sunucu uygulamacığını veya yol geçiş modellerini hedefleyen şüpheli etkinliklere karşı günlükleri izleyin.
- Hassas dosyalara veya yapılandırma verilerine beklenmedik erişimi izleyin.
- Mümkünse ReconcileWizard sunucu uygulamasına erişimi devre dışı bırakın veya kısıtlayın.
Sonuçta kullanıcılar, sıfır gün kusurunu ele almasa da yakın zamanda keşfedilen diğer kritik kusurlara karşı koruma sağlayan Mitel MiCollab’ın en son sürümünü kullandıklarından emin olmalıdır.