Een sequentie van zero day-bugs laat aanvallers toe om toegang te verkrijgen tot gevoelige bestanden binnen Mitel MiCollab. Een patch is intussen beschikbaar voor sommige van de kwetsbaarheden.
Samenwerkingstool MiCollab van Mitel is kwetsbaar voor drie zero day-bugs. Aanvallers kunnen die combineren om toegang te krijgen tot gevoelige bestanden. Onderzoekers van WatchTowr ontdekten het probleem en publiceren nu de details. Een volledige patch is nog niet beschikbaar, maar de onderzoekers wachtten honderd dagen om de bug publiek te maken, zoals gebruikelijk en verantwoord is.
Twee bugs zijn echt gevaarlijk. De eerste CVE-2024-35286 krijgt een rating van 9,8 en is een SQL-injectiekwetsbaarheid. De tweede, CVE-2024-41713, laat aanvallers toe authenticatie te negeren. Dan is er nog een derde bug zonder CVE-nummer. Die laat een aanvaller toe data te lezen, maar vereist authenticatie.
(Deels) gepatcht
Mitel voorziet al wel een patch voor bug CVE-2024-41713. Die is platgetrapt in MiCollab versie MiCollab 9.8 SP2 (9.8.2.12). Ook het andere lek is sinds mei gedicht. Volgens Mitel is daarmee de urgentie weggenomen, aangezien de authenticatiebug essentieel is om een externe aanval op te zetten. De overgebleven bug ziet het bedrijf als niet kritiek. Details over de plannen voor een patch, zijn nog niet bekend.
Het is alleszins belangrijk om ervoor te zorgen dat MiCollab up-to-date is, zodat tenminste de twee meest kritieke kwetsbaarheden zijn opgelost.