Datum der Enthüllung: 5. Dezember 2024 (PoC-Exploit wurde veröffentlicht)
CVE-2024-35286, CVE-2024-41713und CVE-2024-55550 sind drei Sicherheitslücken in der VoIP-Plattform Mitel MiCollab, die von watchTowr Labs. CVE-2024-35286 ist eine bekannte kritische vorauthentifizierte SQL-Injection-Schwachstelle, CVE-2024-41713 ist ein Authentifizierungs-Bypass-Fehler und CVE-2024-55550 ist eine beliebige Datei-Lese-Schwachstelle.
CVE-2024-55550 war eine Zero-Day-Schwachstelle, die entdeckt wurde, als watchTowr seinen Blog veröffentlichte, die aber inzwischen eine CVE-ID erhalten hat und vom Anbieter behoben wurde. In einer Hinweis von Mitel werden die Kunden dringend aufgefordert, ihre Software auf MiCollab 9.8 SP2 (9.8.2.12) zu aktualisieren. Dieser Patch entschärft zusätzlich die Sicherheitslücke CVE-2024-55550, die als Schwachstelle mit geringem Schweregrad für das Lesen lokaler Dateien beschrieben wird und in zukünftigen Produktupdates behoben werden soll.
| Feld |
Einzelheiten |
| CVE-ID |
CVE-2024-35286 - CVSS 9.8 (kritisch) - zugewiesen von CISA-ADP |
CVE-2024-41713 - CVSS 9.1 (kritisch) - zugewiesen von CISA-ADP |
CVE-2024-55550 - CVSS 4.4 (mittel) - zugewiesen von CISA-ADP |
| Schwachstelle Beschreibung |
Unauthentifizierte SQL-Injection aufgrund unzureichender Bereinigung von Benutzereingaben. |
Unauthentifizierter Pfadüberquerungsangriff aufgrund unzureichender Eingabevalidierung, der unbefugten Zugriff ermöglicht, so dass der Angreifer Daten und Systemkonfigurationen von Benutzern einsehen, beschädigen oder löschen kann. |
Authentifizierte Angreifer mit administrativen Rechten können aufgrund einer unzureichenden Eingabesanitisierung lokale Dateien lesen. |
| Datum der Offenlegung |
21. Oktober 2024 |
21. Oktober 2024 |
5. Dezember 2024 |
| Betroffene Vermögenswerte |
NPM-Komponente von Mitel MiCollab. Erfordert eine spezielle Konfiguration, die das /npm-admin Endpunkt |
NPM-Komponente von Mitel MiCollab. Der PoC-Exploit von watchTowr zielt auf die /npm-pwg/...;/usp/ Endpunkt |
Mitel Micollab |
| Anfällige Software-Versionen |
Mitel MiCollab bis 9.8.0.33 |
Mitel MiCollab bis 9.8 SP1 FP2 (9.8.1.201) |
Mitel MiCollab bis 9.8 SP2 |
| PoC verfügbar? |
Watchtowr veröffentlichte einen PoC-Ausnutzung für CVE-2024-41713 und CVE-2024-55550 veröffentlicht, aber zum Zeitpunkt der Erstellung dieses Artikels war noch kein PoC für CVE-2024-35286 verfügbar. |
| Verwertungsstatus |
Diese Schwachstellen sind zum Zeitpunkt der Erstellung dieses Berichts nicht in CISA KEV enthalten, aber es wurden böswillige Hosts beobachtet, die CVE-2024-35286 und CVE-2024-41713 in GreyNoise.
|
| Patch-Status |
Mitel veröffentlichte einen Sicherheitshinweis für CVE-2024-35286 veröffentlicht, in dem den Kunden dringend empfohlen wird, auf die neueste Version von MiCollab zu aktualisieren.
Mitel veröffentlichte einen Sicherheitshinweis für CVE-2024-41713 und CVE-2024-55550 veröffentlicht; MiCollab 9.8 SP2 (9.8.2.12) behebt CVE-2024-41713 und mindert CVE-2024-55550 erheblich. Mitel beschreibt CVE-2024-55550 als eine Schwachstelle mit geringem Schweregrad, die in zukünftigen Produkt-Updates behoben wird. |
Censys Blickwinkel
Zum Zeitpunkt der Erstellung dieses Berichts beobachtete Censys 8,899 exponierte Mitel MiCollab-Instanzen. WatchTowr's Blogbeitrag und einige andere Medien berichten von etwa 16.000 aktiven Instanzen. Diese Diskrepanz könnte auf Unterschiede in unseren Erkennungsmethoden zurückzuführen sein, einschließlich des Potenzials für falsch positive Ergebnisse. Trotz zusätzlicher Recherchen waren wir nicht in der Lage, die Abweichung der gemeldeten Zahlen zu erklären.
Die folgende Abfrage in Censys Search liefert weitere Ergebnisse, die auf das Vorhandensein von MiCollab-Software hindeuten, aber möglicherweise eine höhere Prävalenz von falsch-positiven Ergebnissen aufweisen:
"O=Mitel Networks, OU=VoIP Platforms"
Während sich die meisten dieser Ergebnisse mit unserem MiCollab-Fingerprint überschneiden, ist dies bei vielen nicht der Fall. Die sich nicht überschneidenden Ergebnisse werden oft mit Mitel Communications Director oder MiVoice Business in Verbindung gebracht, die häufig mit MiCollab integriert sind, aber nicht unbedingt dessen Vorhandensein auf demselben Host bestätigen.
Der zuverlässigste Indikator für MiCollab, den wir bisher beobachtet haben, ist die folgende Zeichenfolge, auf die im PoC-Exploit von watchTowr verwiesen wird:
if "MiCollab End User Portal" not in pre_check.text:
print(f"[*] Server is not Mitel MiCollab, exiting...")
exit()
Ein großer Teil davon (54%) sind in den Vereinigten Staaten angesiedelt. Beachten Sie, dass nicht alle beobachteten Instanzen anfällig sind, da uns keine spezifischen Versionen zur Verfügung stehen.
Karte der exponierten Mitel MiCollab-Instanzen:
Censys Search Abfrage:
services.software: (vendor="Mitel" and product="MiCollab")
Censys ASM-Abfrage:
host.services.software: (vendor="Mitel" and product="MiCollab")
Beachten Sie, dass diese Fingerabdrücke erst kürzlich bereitgestellt wurden und es 24 Stunden dauern kann, bis sich die Ergebnisse vollständig verbreitet haben.
Referenzen
