Mitel, MiVoice Connect ve Connect Mobility Router’daki bazı kritik güvenlik açıkları konusunda uyarıda bulunuyor. Bu, yerel ağdaki saldırganların rasgele kod yürütmesine izin verir. Üretici, boşlukları kapatmayı amaçlayan güncellemeler sağlar.
MiVoice Connect: Kritik güvenlik açığı
Genel Merkez, Windows DVS ve Linux DVS sunucu bileşenlerinde yalnızca yetersiz erişim kontrolü var, diye açıklıyor Mitel bir güvenlik danışma belgesinde. Yerel ağdan kimliği doğrulanmamış saldırganlar, rastgele komut dosyaları yürütmek için bunu kötüye kullanabilir (CVE-2023-31457, CVE-2023-32748; henüz CVSS değeri yok, risk”eleştirmen“). MiVoice Connect uç ağ geçidinde, kötü niyetli kişiler varsayılan parolalara göre yönetici ayrıcalıkları elde edebilir (CVE-2023-31458, CVSS yok, risk “yüksek“).
Dosyada siteler arası betik çalıştırma güvenlik açığı index.php– birlikte test_presenter.php-MiVoice Connect konferans bileşeninin sayfası, saldırganların rastgele komut dosyası kodu yürütmesine izin verir (CVE-2023-25598, CVE-2023-25599; CVSS değeri yok, risk”yarım“). İlgileniyorlar MiVoice’u bağlayın– Versiyona kadar ve dahil 19.3 SP2 (22.24.1500.0). Güvenlik açıklarını gideren güncellenmiş yazılım mevcuttur. Mitel, müşterilere ayrıca tüm Edge Gateway hesaplarına güçlü parolalar atandığından emin olmalarını önerir.
Mitel, Connect Mobility Router’da standart parolaları da tercih ederek, kötü niyetli aktörlerin yönetici haklarıyla oturum açmasına olanak tanır (CVE-2023-31459, CVSS değeri yok, risk “yüksek“). Kimliği doğrulanmış saldırganlar, Connect Mobility Router’ın sistem bağlamında yürüttüğü komutları enjekte etmek için başka bir güvenlik açığı kullanabilir. Mitel, güvenlik açığının görünümü hakkında herhangi bir bilgi sağlamaz (CVE-2023-31460, CVSS değeri yok, risk “yüksek“).
Dosyada güvenlik açısından kritik hatalar bulunabilir Mobil yönlendiriciyi bağlayın versiyon 9.6.2208.101 ve daha erken. Daha yeni yazılım sürümleri bunları düzeltir. Ek olarak Mitel, müşterilerine Connect Mobility Router’daki hesapların güçlü parolalara sahip olmasını sağlamalarını tavsiye eder.
Mitel’in MiVoice ürünlerindeki güvenlik açıkları, geçmişte saldırganlar tarafından sıklıkla kullanıldı. Bu nedenle BT yöneticileri, mevcut yazılım güncellemelerini mümkün olan en kısa sürede indirmeli ve kurmalıdır.
(dmk)
Haberin Sonu
MiVoice Connect: Kritik güvenlik açığı
Genel Merkez, Windows DVS ve Linux DVS sunucu bileşenlerinde yalnızca yetersiz erişim kontrolü var, diye açıklıyor Mitel bir güvenlik danışma belgesinde. Yerel ağdan kimliği doğrulanmamış saldırganlar, rastgele komut dosyaları yürütmek için bunu kötüye kullanabilir (CVE-2023-31457, CVE-2023-32748; henüz CVSS değeri yok, risk”eleştirmen“). MiVoice Connect uç ağ geçidinde, kötü niyetli kişiler varsayılan parolalara göre yönetici ayrıcalıkları elde edebilir (CVE-2023-31458, CVSS yok, risk “yüksek“).
Dosyada siteler arası betik çalıştırma güvenlik açığı index.php– birlikte test_presenter.php-MiVoice Connect konferans bileşeninin sayfası, saldırganların rastgele komut dosyası kodu yürütmesine izin verir (CVE-2023-25598, CVE-2023-25599; CVSS değeri yok, risk”yarım“). İlgileniyorlar MiVoice’u bağlayın– Versiyona kadar ve dahil 19.3 SP2 (22.24.1500.0). Güvenlik açıklarını gideren güncellenmiş yazılım mevcuttur. Mitel, müşterilere ayrıca tüm Edge Gateway hesaplarına güçlü parolalar atandığından emin olmalarını önerir.
Mitel, Connect Mobility Router’da standart parolaları da tercih ederek, kötü niyetli aktörlerin yönetici haklarıyla oturum açmasına olanak tanır (CVE-2023-31459, CVSS değeri yok, risk “yüksek“). Kimliği doğrulanmış saldırganlar, Connect Mobility Router’ın sistem bağlamında yürüttüğü komutları enjekte etmek için başka bir güvenlik açığı kullanabilir. Mitel, güvenlik açığının görünümü hakkında herhangi bir bilgi sağlamaz (CVE-2023-31460, CVSS değeri yok, risk “yüksek“).
Dosyada güvenlik açısından kritik hatalar bulunabilir Mobil yönlendiriciyi bağlayın versiyon 9.6.2208.101 ve daha erken. Daha yeni yazılım sürümleri bunları düzeltir. Ek olarak Mitel, müşterilerine Connect Mobility Router’daki hesapların güçlü parolalara sahip olmasını sağlamalarını tavsiye eder.
Mitel’in MiVoice ürünlerindeki güvenlik açıkları, geçmişte saldırganlar tarafından sıklıkla kullanıldı. Bu nedenle BT yöneticileri, mevcut yazılım güncellemelerini mümkün olan en kısa sürede indirmeli ve kurmalıdır.
(dmk)
Haberin Sonu