Mitel опубликовала обновления безопасности для платформы унифицированных коммуникаций MiCollab и виртуального экземпляра MiVoice Business (MiVB SVI). В бюллетене MISA‑2026‑0005 перечислены двенадцать уязвимостей, одиннадцать из которых получили статус критических. Исследователи из Synack Red Team во главе с Мустафой Джаном Ипекчи, а также независимые специалисты Фуок Фам и Зунг Фам сообщили о проблемах производителю.
Детали уязвимостей
Большая часть уязвимостей затрагивает компонент MiCollab Client Service. Речь идёт о нескольких типах инъекций команд, ошибках авторизации, SQL‑инъекциях, подделке запросов на стороне сервера (SSRF) и проблемах проверки сертификатов. Все перечисленные дефекты позволяют неаутентифицированному злоумышленнику атаковать сервер удалённо. В случае успешной эксплуатации нарушитель смог бы выполнить произвольные команды в контексте операционной системы, просматривать, изменять или удалять системные конфигурации, а также подключаться к внутренним ресурсам. Три из этих уязвимостей имеют максимальную оценку CVSS 10.0.
Несколько проблем обнаружено в модуле NuPoint Unified Messaging (NPM). Среди них - инъекция команд, перезапись файлов с вредоносным содержимым, произвольная загрузка файлов и внедрение XML‑внешних сущностей (XXE). Все дефекты, кроме XXE‑инъекции, оценены как критические. Последняя получила высокий уровень опасности с показателем 8.2. Для эксплуатации этих уязвимостей также не требуется аутентификация. Нападающий мог бы выполнить произвольный код или получить несанкционированный доступ к локальным файлам на сервере.
Ещё одна критическая SQL‑инъекция выявлена в компоненте аудио‑, веб‑ и видеоконференций (AWV). Как и в остальных случаях, проблема связана с недостаточной валидацией вводимых пользователем данных. Уязвимость позволяет удалённо выполнять произвольные SQL‑команды без предварительной аутентификации.
Разработчики отметили, что комбинирование нескольких дефектов может существенно усилить воздействие на систему. Однако на момент публикации бюллетеня CVE‑идентификаторы ещё не были присвоены, используются внутренние номера MTLVULN.
Под угрозой оказались системы MiCollab версий от 10.0.0.26 до 10.2.1.102, а также версия 9.8.3.103 и более ранние. Виртуальный экземпляр MiVB SVI версии 2.1.0.9‑2 и ниже подвержен тем же уязвимостям, но только в части компонента MiCollab Client Service. Поддержка устаревших версий прекращена.
В бюллетене говорится, что пользователям затронутых продуктов следует как можно скорее выполнить обновление. Для MiCollab выпущены сборки 10.2 SP1 FP2 (10.2.1.205) и 9.8 SP3 FP2 (9.8.3.203). Для MiVB SVI 2.x необходимо установить версию 2.1.0.9‑4, а для SVI 1.0 - обновить blade клиентского сервиса UC до версии 9.8.3.203 через панель SVI Server Manager. Подробные инструкции содержатся в статье базы знаний Mitel KB000127979.
В качестве временной меры при невозможности немедленного обновления компания предлагает следовать руководству по смягчению рисков, опубликованному в той же базе знаний.
Рост числа критических уязвимостей в корпоративных системах связи и совместной работы подтверждает тенденцию, при которой злоумышленники всё чаще нацеливаются на инфраструктуру унифицированных коммуникаций. Отсутствие аутентификации для эксплуатации большинства описанных дефектов делает своевременное обновление единственной надёжной защитой для организаций, использующих MiCollab и MiVB SVI.
Ссылки
