Критична уязвимост в IP телефонията позволява всяка компания да бъде хакната с едно кликване
В продуктите на Mitel е открита сериозна накърнимост, която може изцяло да подкопае сигурността на корпоративната IP телефония. Става въпрос за сериозен бъг в системата за ръководство Provisioning Manager, която е част от MiVoice MX-ONE – софтуерен пакет, употребен за образуване на гласовите връзки в предприятията. Проблемът се състои в погрешно функционираща система за надзор на достъпа, която разрешава заобикаляне на процеса на засвидетелствуване.
Ако нападател се възползва от този минус, той може да получи достъп до сметки, в това число административни сметки, без да се постанова да вкарва ключова дума.
Всъщност това открива директен път към вдишване на контрола върху системата. Уязвимостта визира версиите от 7.3 (7.3.0.0.0.50) до 7.8 SP1 (7.8.1.0.0.14) и към момента не ѝ е присвоен CVE ID, само че към този момент ѝ е присвоена сериозна CVSS оценка от 9,4 от 10. Mitel пусна актуализации за сигурност като част от пакетите MXO-15711_78SP0 и MXO-15711_78SP1, обхващащи надлежно версии 7.8 и 7.8 SP1. За други версии от 7.3 нататък потребителите би трябвало да се свържат с оторизирания си сътрудник на Mitel, с цел да изискат актуализация.
До инсталирането на пачовете се предлага краткотрайно решение за ограничение на достъпа до съставените елементи на MX-ONE от външни мрежи и пренасяне на системата в приближен сегмент на инфраструктурата, като по този метод се понижава рискът от отдалечено хакерство.
Това обаче не е единственият проблем, отхвърлен в последната актуализация на Mitel. Същевременно е затворена сериозна накърнимост в платформата MiCollab – софтуерен артикул, виновен за връзката и ръководството на потребителите. В този случай тя се отнася до опцията за SQL инжектиране – тип офанзива, при която нападател с годен акаунт може да изпрати случайни SQL команди към сървъра.
Този минус визира версиите на MiCollab от 10.0 (10.0.0.0.26) до 10.0 SP1 FP1 (10.0.1.101), както и версия 9.8 SP3 (9.8.3.1) и по-ранни. Той получи идентификатор CVE-2025-52914 и CVSS оценка 8.8. Според обяснението на Mitel една сполучлива офанзива може да прочете или промени сензитивна информация, в това число потребителски данни, както и да наруши работата на цялата система. Вече са налични актуализации до версии 10.1 (10.1.0.10) и 9.8 SP3 FP1 (9.8.3.103).
С оглед на обстоятелството, че устройствата на Mitel към този момент са били обект на действителни офанзиви, специалистите настоятелно предлагат да не отлагате актуализацията и да инсталирате кръпките допустимо най-скоро. Всяко закъснение на актуализацията има капацитет да докара до приключване на данни или вдишване на надзор върху информационната инфраструктура.
