Des chercheurs ont découvert un fichier arbitraire lu le jour zéro dans la plate-forme de collaboration Mitel MiCollab, permettant aux attaquants d’accéder aux fichiers sur le système de fichiers d’un serveur.
Mitel MiCollab est une plate-forme de collaboration d’entreprise qui consolide divers outils de communication en une seule application, offrant des fonctionnalités d’appel vocal et vidéo, de messagerie, d’informations de présence, d’audioconférence, d’assistance à la mobilité et de collaboration d’équipe.
Il est utilisé par diverses organisations, y compris les grandes entreprises, les petites et moyennes entreprises et les entreprises opérant sur un modèle de main-d’œuvre à distance ou hybride.
La dernière vulnérabilité du produit a été découverte par des chercheurs de watchTowr, qui, bien qu’ayant signalé au fournisseur depuis août, elle n’est toujours pas corrigée après 90 jours de divulgation et d’attente d’un correctif.
« watchTowr a contacté Mitel le 26 août au sujet de la nouvelle vulnérabilité. Mitel a informé watchTowr de son intention de patcher la première semaine de décembre 2024. Au moment de la publication, il n’y avait aucune mise à jour sur la page d’avis de sécurité de Mitel. »a expliqué un rapport de watchTowr publié aujourd’hui.
Examiner les défauts du passé pour en découvrir un nouveau
Le dernier jour zéro, qui n’a pas encore d’identifiant CVE qui lui est attribué, a été découvert en enquêtant sur des vulnérabilités précédemment signalées dans MiCollab, en expérimentant des techniques de traversée de chemin et de manipulation d’entrée.
Plus précisément, les chercheurs enquêtaient sur CVE-2024-35286, une faille d’injection SQL corrigée par Mitel le 23 mai, et CVE-2024-41713, un problème de contournement d’authentification résolu par le fournisseur le 9 octobre.
La faille précédemment non documentée a été découverte en sondant le servlet ‘ReconcileWizard’, en effectuant des injections d’une chaîne de traversée de chemin (../../../) dans le paramètre ‘reportName’ d’une requête API basée sur XML.
Cela a permis aux chercheurs d’accéder à des fichiers sensibles tels que « /etc/passwd », qui contiennent des informations sensibles sur les comptes d’un système.
Une preuve de concept sur la façon d’exploiter la faille a été publiée dans le cadre de la rédaction de watchTowr.
Bien que techniquement moins critique que les deux autres vulnérabilités, le jour zéro reste une menace importante car il permet à des utilisateurs non autorisés d’accéder à des fichiers système sensibles.
De plus, MiCollab a de nouveau été ciblé par des acteurs de la menace dans un passé récent, il n’est donc pas prudent d’ignorer ce risque.
Recommandations de la défense
Étant donné que la vulnérabilité n’est pas encore corrigée, les organisations utilisant MiCollab restent exposées et doivent immédiatement mettre en œuvre des mesures d’atténuation.
Les mesures à envisager comprennent:
- Limitez l’accès au serveur MiCollab aux plages d’adresses IP de confiance ou aux réseaux internes uniquement.
- Implémentez des règles de pare-feu pour empêcher tout accès externe non autorisé à l’application.
- Surveillez les journaux à la recherche d’activités suspectes ciblant le servlet de l’Assistant de réconciliation ou les modèles de traversée de chemin.
- Surveillez les accès inattendus aux fichiers sensibles ou aux données de configuration.
- Si possible, désactivez ou restreignez l’accès au servlet de l’Assistant de réconciliation.
En fin de compte, les utilisateurs doivent s’assurer qu’ils utilisent la dernière version de Mitel MiCollab, qui, bien qu’elle ne corrige pas la faille zero-day, offre une protection contre d’autres failles critiques découvertes récemment.