Date de divulgation : 5 décembre 2024 (publication de l'exploit PoC)
CVE-2024-35286, CVE-2024-41713et CVE-2024-55550 sont trois vulnérabilités dans la plateforme VoIP Mitel MiCollab, rapportées par watchTowr Labs. CVE-2024-35286 est une vulnérabilité critique connue d'injection SQL pré-authentifiée, CVE-2024-41713 est une faille de contournement d'authentification, et CVE-2024-55550 est une vulnérabilité de lecture de fichier arbitraire.
CVE-2024-55550 était une vulnérabilité zero-day découverte lorsque watchTowr a publié son blog, mais un identifiant CVE lui a depuis été attribué et l'éditeur l'a corrigée. Dans un avis Mitel a demandé à ses clients de mettre à jour leur logiciel vers MiCollab 9.8 SP2 (9.8.2.12). Ce correctif atténue également la vulnérabilité CVE-2024-55550, décrite comme une vulnérabilité d'exposition à la lecture de fichiers locaux de faible gravité, qui sera corrigée dans les prochaines mises à jour du produit.
| Champ d'application |
Détails |
| CVE-ID |
CVE-2024-35286 - CVSS 9.8 (critique) - attribué par CISA-ADP |
CVE-2024-41713 - CVSS 9.1 (critique) - attribué par CISA-ADP |
CVE-2024-55550 - CVSS 4.4 (moyen) - attribué par CISA-ADP |
| Description de la vulnérabilité |
Injection SQL non authentifiée due à une vérification insuffisante de l'entrée utilisateur. |
Attaque par traversée de chemin non authentifiée, due à une validation d'entrée insuffisante, permettant un accès non autorisé, ce qui permet à l'attaquant de visualiser, d'altérer ou de supprimer les données des utilisateurs et les configurations du système. |
Des attaquants authentifiés disposant de privilèges administratifs peuvent effectuer une lecture de fichier local, en raison d'une vérification d'entrée insuffisante. |
| Date de la divulgation |
21 octobre 2024 |
21 octobre 2024 |
5 décembre 2024 |
| Actifs touchés |
Composant NPM de Mitel MiCollab. Nécessite une configuration spécifique exposant l'option /npm-admin point de terminaison |
NPM de Mitel MiCollab. L'exploit PoC de watchTowr cible le fichier /npm-pwg/...;/usp/ point final |
Mitel Micollab |
| Versions de logiciels vulnérables |
Mitel MiCollab jusqu'à 9.8.0.33 |
Mitel MiCollab jusqu'à 9.8 SP1 FP2 (9.8.1.201) |
Mitel MiCollab jusqu'à 9.8 SP2 |
| PoC disponible ? |
Watchtowr a publié un PoC Exploit pour CVE-2024-41713 et CVE-2024-55550, mais aucun PoC n'était disponible pour CVE-2024-35286 au moment de la rédaction de ce document. |
| Statut d'exploitation |
Ces vulnérabilités n'apparaissent pas dans CISA KEV au moment de la rédaction du présent document, mais des hôtes malveillants ont été observés en train d'utiliser le système CVE-2024-35286 et CVE-2024-41713 dans GreyNoise.
|
| Statut du patch |
Mitel a publié un avis de sécurité pour CVE-2024-35286, invitant les clients à mettre à jour la dernière version de MiCollab.
Mitel a publié un avis de sécurité pour CVE-2024-41713 et CVE-2024-55550 ; MiCollab 9.8 SP2 (9.8.2.12) corrige CVE-2024-41713 et atténue substantiellement CVE-2024-55550. Mitel décrit CVE-2024-55550 comme une vulnérabilité de faible gravité qui sera corrigée dans les prochaines mises à jour du produit. |
Censys Perspective
Au moment de la rédaction du présent document, Censys observait 8,899 instances Mitel MiCollab exposées. L'article de blog de WatchTowr de WatchTowr et quelques autres médias ont fait état d'environ 16 000 instances actives. Cet écart peut provenir de différences dans nos méthodes de détection, y compris le potentiel de faux positifs. Malgré des recherches supplémentaires, nous n'avons pas été en mesure d'expliquer l'écart entre les chiffres rapportés.
La requête suivante dans Censys Search donne des résultats supplémentaires qui peuvent suggérer la présence du logiciel MiCollab, mais qui peuvent avoir une prévalence plus élevée de faux positifs :
"O=Mitel Networks, OU=VoIP Platforms"
Bien que la majorité de ces résultats se recoupent avec notre empreinte MiCollab, un grand nombre d'entre eux ne le font pas. Les résultats qui ne se recoupent pas sont souvent associés à Mitel Communications Director ou MiVoice Business, qui sont souvent intégrés à MiCollab mais ne confirment pas nécessairement sa présence sur le même hôte.
L'indicateur le plus fiable de MiCollab que nous avons observé jusqu'à présent est la chaîne suivante, référencée dans l'exploit PoC de watchTowr :
if "MiCollab End User Portal" not in pre_check.text:
print(f"[*] Server is not Mitel MiCollab, exiting...")
exit()
Une grande partie d'entre eux (54%) est géolocalisée aux États-Unis. Il convient de noter que toutes les instances observées ne sont pas vulnérables, car nous ne disposons pas de versions spécifiques.
Carte des instances Mitel MiCollab exposées :
Censys Requête de recherche :
services.software: (vendor="Mitel" and product="MiCollab")
Censys Requête ASM :
host.services.software: (vendor="Mitel" and product="MiCollab")
Notez que ces empreintes ont été récemment déployées et que les résultats peuvent prendre 24 heures pour se propager complètement.
Références
