Một lỗ hổng zero-day mới được phát hiện trong nền tảng Mitel MiCollab đang gây lo ngại nghiêm trọng về an ninh dữ liệu nhạy cảm của doanh nghiệp. Được phát hiện bởi nhóm nghiên cứu bảo mật watchTowr, lỗ hổng này cho phép đọc tập tin tùy ý trên hệ thống bị ảnh hưởng. Khi kết hợp với lỗ hổng CVE-2024-41713 (đã được vá), kẻ tấn công có thể chiếm quyền truy cập trái phép vào thông tin bảo mật và các tệp hệ thống quan trọng.

1. Các thành phần bị ảnh hưởng:

- Nền tảng Mitel MiCollab, được sử dụng phổ biến cho các tính năng như gọi thoại, hội nghị video, chia sẻ tệp, và các chức năng cộng tác khác.

- Thành phần NuPoint Unified Messaging (NPM): Máy chủ thư thoại tích hợp với Outlook và các ứng dụng khác.

Hiện tại, có hơn 16.000 instance MiCollab đang được truy cập công khai, tạo ra số lượng mục tiêu có thể bị tấn công lớn cho kẻ xấu.

2. Chi tiết kỹ thuật:

- Lỗ hổng chưa được gán CVE (Zero-Day)

+ Loại lỗi: Đọc tệp tùy ý (Arbitrary File Read).

+ Nguyên nhân: Không kiểm tra đầu vào đầy đủ.

+Tác động: Cho phép người dùng đã xác thực đọc các tệp nhạy cảm (vd: /etc/passwd).

- CVE-2024-41713 (Đã vá):

+Loại lỗi: Tấn công Path Traversal.

+ Điểm CVSS: 9.8 (Nguy hiểm cao).

+ Mô tả: Thông qua việc gửi chuỗi đầu vào đặc biệt "..;/" tới thành phần ReconcileWizard, kẻ tấn công có thể truy cập vào root của máy chủ ứng dụng và xem thông tin nhạy cảm mà không cần xác thực.

- Kết hợp khai thác:

Khi kết hợp lỗ hổng Path Traversal với lỗ hổng đọc tệp chưa vá, kẻ tấn công có thể:

Vượt qua các lớp xác thực.

Truy xuất thông tin nhạy cảm.

Thực hiện các hành động quản trị không được phép trên hệ thống.

3. Khuyến nghị:

- Cập nhật phần mềm:

+ Đảm bảo rằng hệ thống đang chạy phiên bản MiCollab 9.8 SP2 (9.8.2.12) hoặc mới hơn.

 - Kiểm tra cấu hình:

+ Hạn chế quyền truy cập từ xa đến các instance MiCollab.

+ Sử dụng tường lửa để chặn các yêu cầu không mong muốn.

4. Tham khảo

- Critical Mitel MiCollab Flaw Exposes Systems to Unauthorized File and Admin Access

Duy An - Trung tâm CNTT&TT