Изследователи в областта на киберсигурността публикуваха доказателство за концептуален (PoC) експлойт, който обединява вече поправен критичен недостатък в сигурността на Mitel MiCollab с нулев ден за произволно четене на файлове, предоставяйки на атакуващия възможност за достъп до файлове от податливи екземпляри.

Въпросната критична уязвимост е CVE-2024-41713 (CVSS оценка: 9.8), която се отнася до случай на недостатъчно валидиране на входни данни в компонента NuPoint Unified Messaging (NPM) на Mitel MiCollab, което води до атака за обхождане на пътища.

MiCollab е софтуерно и хардуерно решение, което интегрира чат, гласови, видео и SMS съобщения с Microsoft Teams и други приложения. NPM е сървърно базирана система за гласова поща, която позволява на потребителите да имат достъп до гласовите си съобщения чрез различни методи, включително дистанционно или чрез клиента Microsoft Outlook.

В доклад, споделен с The Hacker News, WatchTowr Labs съобщава, че е открила CVE-2024-41713 като част от усилията си за възпроизвеждане на CVE-2024-35286 (CVSS score: 9.8), друг критичен бъг в компонента NPM, който може да позволи на атакуващия да получи достъп до чувствителна информация и да изпълни произволни операции с бази данни и управление.

Грешката в SQL инжекцията беше отстранена от Mitel в края на май 2024 г. с пускането на MiCollab версия 9.8 SP1 (9.8.1.5).

Това, което прави новата уязвимост забележителна, е, че тя включва подаване на входа „..;/“ в HTTP заявката към компонента ReconcileWizard, за да се приземи нападателят в корена на сървъра на приложението, като по този начин прави възможен достъпа до чувствителна информация (напр. /etc/passwd) без удостоверяване.

Анализът на WatchTowr Labs установи още, че заобикалянето на удостоверяването може да се комбинира с все още непоправен недостатък, свързан с произволно четене на файлове след удостоверяването, за да се извлече чувствителна информация.

„Успешното използване на тази уязвимост може да позволи на атакуващия да получи неоторизиран достъп, с потенциални последици за поверителността, целостта и наличността на системата“, заяви Mitel в консултация за CVE-2024-41713.

„Ако уязвимостта бъде успешно използвана, атакуващият може да получи неавтентифициран достъп до информация за осигуряване, включително нечувствителна потребителска и мрежова информация, и да извърши неоторизирани административни действия в MiCollab Server.“

Компанията също така отбеляза, че недостатъкът в локалното четене на файлове (CVE запазено, CVSS оценка: 2,7) в системата е резултат от недостатъчна санитарна обработка на входа и че разкриването е ограничено до нечувствителна системна информация. Тя подчерта, че уязвимостта не позволява модифициране на файлове или повишаване на привилегиите.

След отговорното разкриване на уязвимостта CVE-2024-41713 е включена във версиите на MiCollab 9.8 SP2 (9.8.2.12) или по-нови, считано от 9 октомври 2024 г.

„На по-техническо ниво това разследване показа някои ценни уроци“, заяви изследователят по сигурността Сони Макдоналд.

„Първо, то послужи като реален пример, че не винаги е необходим пълен достъп до изходния код – дори когато се впускате в изследване на уязвимостите, за да възпроизведете известна слабост в COTS решение. В зависимост от дълбочината на описанието на CVE, някои добри умения за търсене в интернет могат да бъдат основа за успешно издирване на уязвимости.“

Заслужава да се отбележи, че MiCollab 9.8 SP2 (9.8.2.12) също така адресира отделна уязвимост SQL injection в компонента Audio, Web и Video Conferencing (AWV) (CVE-2024-47223, CVSS оценка: 9.4), която може да има сериозни последствия, вариращи от разкриване на информация до изпълнение на произволни заявки към бази данни, които могат да направят системата неработоспособна.

Разкритието идва в момент, когато Rapid7 подробно описа няколко дефекта в сигурността на Lorex 2K Indoor Wi-Fi Security Camera (от CVE-2024-52544 до CVE-2024-52548), които могат да бъдат комбинирани, за да се постигне отдалечено изпълнение на код (RCE).

В хипотетичен сценарий на атака първите три уязвимости могат да бъдат използвани за възстановяване на паролата за администратор на целевото устройство на такава по избор на противника, като се използва достъпът за гледане на видео и аудио емисии на живо от устройството, или да се използват останалите два дефекта за постигане на RCE с повишени привилегии.

„Веригата от експлойти се състои от пет различни уязвимости, които работят заедно в две фази за постигане на неавтентифициран RCE“, отбеляза изследователят по сигурността Стивън Февър.

„Фаза 1 извършва заобикаляне на удостоверяването, което позволява на отдалечен неаутентифициран нападател да възстанови паролата на администратора на устройството с избрана от него парола. Във фаза 2 се постига отдалечено изпълнение на код, като се използва заобикалянето на проверката за автентичност във фаза 1, за да се извърши автентично препълване на буфера на базата на стека и да се изпълни команда на операционната система (ОС) с привилегии на root.“