Beveiligingsadvies NCSC-2024-0468 [1.00] [M/H] Kwetsbaarheden verholpen in Mitel MiCollab
Kwetsbaarheden Opgelost in Mitel MiCollab
Mitel heeft recent diverse kwetsbaarheden in hun MiCollab-software opgelost, met name gericht op de Unified Messaging en Conferencing componenten. Deze beveiligingsfouten ontstonden door de manier waarop de software omgaat met gebruikersinvoer, waarmee een aanvaller via een reeks technieken zoals pad-traversal en SQL-injectie, mogelijk ongeautoriseerde toegang kan verkrijgen tot gebruikersdata en systeemconfiguraties. Daarnaast bestaat er een risico dat aanvallers misbruik maken van CRLF-injectie om phishing-aanvallen te lanceren. Er is al een bewijs van concept (proof-of-concept) uitgebracht dat de haalbaarheid van dergelijk aanvallen aantoont, waarmee deze kwetsbaarheden als ernstig worden ingeschat met het potentiële gevolg van datalekken en compromittering van de systeemintegriteit.
Publieke Adviesinformatie
Het Nationaal Cyber Security Centrum (NCSC) heeft op deze pagina gedetailleerde informatie vrijgegeven over de Mitel MiCollab-updates. De advisories zijn beschikbaar in verschillende formaten, waaronder Signed PGP, CSAF, en PDF, onder referentie NCSC-2024-0468.
Belangrijkste Kenmerken van de Kwetsbaarheden
De belangrijkste kwetsbaarheden omvatten:
- Incorrect encoding of escaping van uitvoer.
- Ontbrekende authenticatie voor kritieke functies.
- Onvoldoende beperking van een omgevingspad tot een beperkte directory (path traversal).
- Onvoldoende neutralisatie van CRLF sequenties (CRLF injectie).
- Onvoldoende neutralisatie van speciale elementen in een SQL-opdracht (SQL injectie).
- Onvoldoende toegangscontrole.
Getroffen Gebieden en Versies
De kwetsbaarheden hebben specifiek betrekking op de Mitel MiCollab versie 9.8 SP2 9.8.2.12.
Oplossingen
Mitel heeft patches en updates uitgebracht om deze kwetsbaarheden te verhelpen. Raadpleeg de volgende links voor gedetailleerde informatie en downloadmogelijkheden:
- Mitel Product Security Advisory MISA-2024-0025
- Mitel Product Security Advisory MISA-2024-0026
- Mitel Product Security Advisory MISA-2024-0027
- Mitel Product Security Advisory MISA-2024-0028
- Mitel Product Security Advisory MISA-2024-0029
CVE-Referenties
De volgende Common Vulnerabilities and Exposures (CVE)-codes zijn toegewezen aan de gevonden kwetsbaarheden:
Door het gebruik van deze veiligheidsinformatie accepteert u de navolgende voorwaarden. De informatie in dit advies is met grote zorg samengesteld door het NCSC. Echter, het Centrum kan niet garanderen dat deze altijd volledig, juist of actueel is. Deze informatie is uitsluitend bedoeld als algemene voorlichting voor professionele partijen en hieraan kunnen geen rechten worden ontleend. Het NCSC en de Staat der Nederlanden zijn niet aansprakelijk voor enige schade veroorzaakt door het gebruik of de onmogelijkheid om dit advies te gebruiken, inclusief schade veroorzaakt door onvolledigheid of onjuistheid van de informatie. Op dit advies is het Nederlandse recht van toepassing en geschillen over of voortvloeiend uit dit advies zullen worden voorgelegd aan de bevoegde rechter in Den Haag.
Hopelijk helpt deze informatie om voortgang te boeken in het beveiligen van systemen tegen de genoemde kwetsbaarheden!
Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.
Mitigerende maatregel beschikbaar op advisories.ncsc.nl
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----