Fecha de divulgación: 5 de diciembre de 2024 (se publicó la hazaña PoC).
CVE-2024-35286, CVE-2024-41713y CVE-2024-55550 son tres vulnerabilidades en la plataforma VoIP Mitel MiCollab, reportadas por watchTowr Labs. CVE-2024-35286 es una vulnerabilidad crítica conocida de inyección SQL preautenticada, CVE-2024-41713 es un fallo de omisión de autenticación, y CVE-2024-55550 es una vulnerabilidad de lectura arbitraria de archivos.
CVE-2024-55550 era una vulnerabilidad de día cero descubierta cuando watchTowr publicó su blog, pero desde entonces se le ha asignado un ID CVE y ha sido solucionada por el proveedor. En un aviso de Mitel, instaron a los clientes a actualizar su software a MiCollab 9.8 SP2 (9.8.2.12). Este parche mitiga además la CVE-2024-55550, que han descrito como una vulnerabilidad de exposición de lectura de archivos locales de baja gravedad que se abordará en futuras actualizaciones del producto.
| Campo |
Detalles |
| CVE-ID |
CVE-2024-35286 - CVSS 9.8 (crítico) - asignado por CISA-ADP |
CVE-2024-41713 - CVSS 9.1 (crítico) - asignado por CISA-ADP |
CVE-2024-55550 - CVSS 4.4 (medio) - asignado por CISA-ADP |
| Descripción de la vulnerabilidad |
Inyección SQL no autenticada debido a una limpieza insuficiente de la entrada del usuario. |
Ataque no autenticado a través de la ruta, debido a la insuficiente validación de entrada, permitiendo el acceso no autorizado, permitiendo al atacante ver, corromper o borrar los datos de los usuarios y las configuraciones del sistema. |
Los atacantes autenticados con privilegios administrativos pueden llevar a cabo una lectura de archivos locales, debido a la insuficiente sanitización de entrada. |
| Fecha de divulgación |
21 de octubre de 2024 |
21 de octubre de 2024 |
5 de diciembre de 2024 |
| Activos afectados |
Componente NPM de Mitel MiCollab. Requiere una configuración específica que exponga el directorio /npm-admin punto final |
Componente NPM de Mitel MiCollab. El exploit PoC de watchTowr tiene como objetivo el archivo /npm-pwg/..;/usp/ endpoint |
Mitel Micollab |
| Versiones de software vulnerables |
Mitel MiCollab a través de 9.8.0.33 |
Mitel MiCollab a través de 9.8 SP1 FP2 (9.8.1.201) |
Mitel MiCollab a través de 9.8 SP2 |
| ¿PoC disponible? |
Watchtowr publicó un Exploit PoC para CVE-2024-41713 y CVE-2024-55550, pero no había ningún PoC disponible para CVE-2024-35286 en el momento de escribir este artículo. |
| Estado de explotación |
Estas vulnerabilidades no aparecen en CISA KEV en el momento de redactar este documento, pero se han observado hosts maliciosos que utilizan CVE-2024-35286 y CVE-2024-41713 en GreyNoise.
|
| Estado del parche |
Mitel ha publicado un aviso de seguridad para CVE-2024-35286, instando a los clientes a actualizar a la última versión de MiCollab.
Mitel publicó un aviso de seguridad para CVE-2024-41713 y CVE-2024-55550; MiCollab 9.8 SP2 (9.8.2.12) parchea CVE-2024-41713 y mitiga sustancialmente CVE-2024-55550. Mitel describe CVE-2024-55550 como una vulnerabilidad de baja gravedad que se abordará en futuras actualizaciones del producto. |
Censys Perspectiva
En el momento de redactar este informe, Censys observaba 8,899 instancias Mitel MiCollab expuestas. WatchTowr de WatchTowr y algunos otros medios de comunicación informaron de aproximadamente 16.000 instancias activas. Esta discrepancia puede deberse a diferencias en nuestros métodos de detección, incluida la posibilidad de falsos positivos. A pesar de realizar búsquedas adicionales, no pudimos explicar la variación en las cifras notificadas.
La siguiente consulta en Censys Search arroja resultados adicionales que pueden sugerir la presencia del software MiCollab, pero puede tener una mayor prevalencia de falsos positivos:
"O=Mitel Networks, OU=VoIP Platforms"
Aunque la mayoría de estos resultados se solapan con nuestra huella digital de MiCollab, muchos no lo hacen. Los resultados que no se solapan suelen estar asociados a Mitel Communications Director o MiVoice Business, que suelen estar integrados con MiCollab pero no confirman necesariamente su presencia en el mismo host.
El indicador más fiable de MiCollab que hemos observado hasta ahora es la siguiente cadena, a la que se hace referencia en el exploit PoC de watchTowr:
if "MiCollab End User Portal" not in pre_check.text:
print(f"[*] Server is not Mitel MiCollab, exiting...")
exit()
Una gran proporción de ellos (54%) están geolocalizados en Estados Unidos. Tenga en cuenta que no todos los casos observados son vulnerables, ya que no disponemos de versiones específicas.
Mapa de instancias Mitel MiCollab expuestas:
Censys Consulta de búsqueda:
services.software: (vendor="Mitel" and product="MiCollab")
Censys Consulta ASM:
host.services.software: (vendor="Mitel" and product="MiCollab")
Tenga en cuenta que estas huellas se han desplegado recientemente y los resultados pueden tardar 24 horas en propagarse por completo.
Referencias
