Draqon
Aktif Üye
Mitel, MiVoice Connect ve Connect Mobility Router’daki bazı kritik güvenlik açıkları konusunda uyarıda bulunuyor. Bu, yerel ağdaki saldırganların rastgele kod yürütmesine izin verir. Üretici, boşlukları kapatmayı amaçlayan güncellemeler sağlar.
MiVoice Connect: Kritik güvenlik açığı
Mitel bir güvenlik danışma belgesinde, Headquarters, Windows DVS ve Linux DVS sunucu bileşenlerinde yalnızca yetersiz erişim denetimi olduğunu açıklıyor. Yerel ağdan kimliği doğrulanmamış saldırganlar, rastgele komut dosyaları çalıştırmak için bunu kötüye kullanabilir (CVE-2023-31457, CVE-2023-32748; henüz CVSS değeri yok, risk “kritik“). MiVoice Connect uç ağ geçidinde, kötü niyetli kişiler varsayılan parolalara göre yönetici ayrıcalıkları elde edebilir (CVE-2023-31458, CVSS yok, risk “yüksek“).
Siteler arası betik çalıştırma güvenlik açıkları index.php– birlikte test_presenter.php– MiVoice Connect’in konferans bileşeninin sayfası, saldırganların rastgele komut dosyası kodu yürütmesine izin verir (CVE-2023-25598, CVE-2023-25599; CVSS değeri yok, risk “orta“). Etkilenir MiVoice Bağlantısı– Versiyona kadar ve dahil 19.3 SP2 (22.24.1500.0). Güvenlik açıklarını gideren güncellenmiş yazılım mevcuttur. Mitel, müşterilerin ayrıca tüm Edge Gateway hesaplarına karmaşık parolaların atandığından emin olmalarını önerir.
Mitel, Connect Mobility Router’da standart parolaları da tercih ederek, kötü niyetli kişilerin yönetici haklarıyla erişmesine olanak tanır (CVE-2023-31459, CVSS değeri yok, risk “yüksek“). Kimliği doğrulanmış saldırganlar, Connect Mobility Router’ın sistem bağlamında yürüttüğü komutları enjekte etmek için başka bir güvenlik açığı kullanabilir. Mitel, güvenlik açığının neye benzediği hakkında herhangi bir bilgi sağlamıyor (CVE-2023-31460, CVSS değeri yok, risk “yüksek“).
Güvenlik açısından kritik hatalar şu adreste bulunabilir: Mobil Yönlendiriciyi Bağlayın sürüm 9.6.2208.101 ve önceki. Daha yeni yazılım sürümleri bunları giderir. Ek olarak Mitel, müşterilerin Connect Mobility Router’daki hesaplara karmaşık parolalar sağlanmasını tavsiye eder.
Mitel’in MiVoice ürünlerindeki güvenlik açıkları, geçmişte saldırganlar tarafından sıklıkla kullanıldı. Bu nedenle BT yöneticileri, mevcut yazılım güncellemelerini mümkün olan en kısa sürede indirmeli ve kurmalıdır.
(dmk)
Haberin Sonu
MiVoice Connect: Kritik güvenlik açığı
Mitel bir güvenlik danışma belgesinde, Headquarters, Windows DVS ve Linux DVS sunucu bileşenlerinde yalnızca yetersiz erişim denetimi olduğunu açıklıyor. Yerel ağdan kimliği doğrulanmamış saldırganlar, rastgele komut dosyaları çalıştırmak için bunu kötüye kullanabilir (CVE-2023-31457, CVE-2023-32748; henüz CVSS değeri yok, risk “kritik“). MiVoice Connect uç ağ geçidinde, kötü niyetli kişiler varsayılan parolalara göre yönetici ayrıcalıkları elde edebilir (CVE-2023-31458, CVSS yok, risk “yüksek“).
Siteler arası betik çalıştırma güvenlik açıkları index.php– birlikte test_presenter.php– MiVoice Connect’in konferans bileşeninin sayfası, saldırganların rastgele komut dosyası kodu yürütmesine izin verir (CVE-2023-25598, CVE-2023-25599; CVSS değeri yok, risk “orta“). Etkilenir MiVoice Bağlantısı– Versiyona kadar ve dahil 19.3 SP2 (22.24.1500.0). Güvenlik açıklarını gideren güncellenmiş yazılım mevcuttur. Mitel, müşterilerin ayrıca tüm Edge Gateway hesaplarına karmaşık parolaların atandığından emin olmalarını önerir.
Mitel, Connect Mobility Router’da standart parolaları da tercih ederek, kötü niyetli kişilerin yönetici haklarıyla erişmesine olanak tanır (CVE-2023-31459, CVSS değeri yok, risk “yüksek“). Kimliği doğrulanmış saldırganlar, Connect Mobility Router’ın sistem bağlamında yürüttüğü komutları enjekte etmek için başka bir güvenlik açığı kullanabilir. Mitel, güvenlik açığının neye benzediği hakkında herhangi bir bilgi sağlamıyor (CVE-2023-31460, CVSS değeri yok, risk “yüksek“).
Güvenlik açısından kritik hatalar şu adreste bulunabilir: Mobil Yönlendiriciyi Bağlayın sürüm 9.6.2208.101 ve önceki. Daha yeni yazılım sürümleri bunları giderir. Ek olarak Mitel, müşterilerin Connect Mobility Router’daki hesaplara karmaşık parolalar sağlanmasını tavsiye eder.
Mitel’in MiVoice ürünlerindeki güvenlik açıkları, geçmişte saldırganlar tarafından sıklıkla kullanıldı. Bu nedenle BT yöneticileri, mevcut yazılım güncellemelerini mümkün olan en kısa sürede indirmeli ve kurmalıdır.
(dmk)
Haberin Sonu