Unpatched Zero-Day Vulnerability in Mitel MiCollab Exposes Businesses to Serious Security Risks
2024/12/06 SecurityOnline — Mitel MiCollab に新たに発見されたゼロデイ脆弱性により、機密性の高いビジネス・データのセキュリティに、深刻な懸念が生じている。 watchTowr の研究者たちが発見した、この脆弱性 (CVE 識別子は未取得) は、影響を受けるシステム上において攻撃者に任意のファイル読み取りを許すものだ。 さらに、この脆弱性と組み合わせて、MiCollab の別の修正済の脆弱性 CVE-2024-41713 を悪用する攻撃者は、機密情報や重要なシステム・ファイルへの不正アクセスの可能性を手にする。
コラボレーション・プラットフォームである MiCollab は、音声通信/ビデオ会議/ファイル共有などのコラボレーション機能などを搭載しており、企業に広く導入されている。watchTowr により発見された、この新たな脆弱性は、MiCollab の NuPoint Unified Messaging (NPM) コンポーネントに存在する。MiCollab の 16,000件以上のインスタンスが、一般に公開されていることから、潜在的な攻撃対象は膨大になると懸念されている。
この脆弱性は、不十分な入力検証に起因する。悪用に成功した認証済の攻撃者は、任意のファイルの読み取りが可能になるが、その中には “/etc/passwd” などの機密システム・ファイルも含まれる。さらに、今回の脆弱性と CVE-2024-41713 を組み合わせることで、完全な認証バイパスが達成されるため、攻撃者はシステムへの自由なアクセスを手にする。
2024年5月にも、watchTowr の研究者は、MiCollab の NPM コンポーネントに存在する、SQL インジェクションの脆弱性 CVE-2024-35286 (CVSSスコア:9.8) を特定している。この脆弱性は、権限のない攻撃者に対して、機密情報へのアクセスやデータベース操作を許すものであり、5月の時点でパッチが適用されている。
MiCollab の新たなゼロデイ脆弱性を発見した watchTowr は、2024年8月26日の時点で Mitel に報告している。その際の Mitel の発言は、12月初旬のパッチ・リリースを保証するものだったが、現時点においても、この脆弱性は修正されていない。すでに watchTowr は、脆弱性 CVE-2024-41713 の潜在的な影響を示す PoC エクスプロイト・コードを公開している。同社は、MiCollab のユーザーに対して、リスクの深刻さを訴え、早急に緩和策を講じるよう促している。
せっかく、watchTowr が報告してくれたのに、Mitel の対応が進んでいないようです。時間は十分に確保されていたようですが、いまだに CVE も採番されていません。ご利用のチームは、ご注意ください。よろしければ、Mitel で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.