MiCollab de Mitel se retrouvent avec des failles exploitées!!
Salut à tous,
Aujourd'hui, nous allons parler de l'information transmise par l'agence de cybersécurité américaine CISA (Cybersecurity & Infrastructure Security Agency) lors de son bulletin datant du 7 janvier 2025 sur la présence de deux CVE présentes sur MiCollab de Mitel. Les deux CVE concernées sont la CVE-2024-41713 et la CVE-2024-55550 avec l'indication Mitel MiCollab Path Traversal Vulnerability.
Cet ajout a été réalisé dans le catalogue de vulnérabilité exploitées connues (KEV) de l'agence. Pour rappel, MiCollab est la suite d'outils de communication et de collaboration de Mitel.
Les failles ont été catégorisées comme étant de type path traversal, ce sont des vecteurs d'attaque fréquents puisqu'elles visent à accéder aux fichiers et répertoires stockés en dehors du dossier racine d'une site web.
On apprend que les versions 9.8 SP1 FP2 (9.8.1.201) et antérieures sont vulnérables et qu'un upgrade 9.8 SP2 (9.8.2.12) ou vers une version postérieure est recommandé pour s'en prémunir.
A présent, entrons dans le détail sur les vulnérabilités. Pour la CVE-2024-41713, elle dispose d'un score CVSS de 9,8/10 et va venir affecter le composant NuPoint Unified Messaging en donnant la possibilité d'exploiter un manque de validation d'entrée suffisante à un attaquant non authentifié d'obtenir un accès non autorisé pour visualiser, corrompre ou supprimer les données des utilisateurs et configurations système.
La seconde (CVE-2024-55550) dispose d'un score de 4,4/10 permettant d'avoir la lecture du fichier local au sein du système en raison d'une vérification insuffisante des entrées. Cette exploitation donne des privilèges d'administration pour accéder à des ressources limitées au niveau d'accès administrateur avec une divulgation limitée aux informations système non sensibles. Néanmoins, elle ne permet pas de modifier des fichiers ou aboutir à une escalade de privilèges.
Pour s'en protéger, les correctifs ont été publiées par Mitel depuis octobre 2024 et permet de montrer que l'exploitation active met en lumière que certains utilisateurs n'ont pas encore procédé à la mise à jour de leurs applications. De plus, la CISA a, conformément à la directive BOD 22-01, exigé aux agences de l'administration civile fédérale de corriger les failles dans un délai de 15 jours.
Commentaires
Enregistrer un commentaire