Mitel SIP telefonlarındaki ve konferans ürünlerindeki güvenlik açıkları, saldırganların cihazlara yetkisiz erişim sağlamasına, kötü amaçlı kod yürütmesine veya hizmet reddi yoluyla cihazları devre dışı bırakmasına olanak tanır. Güncellenen ürün yazılımı güvenlik açıklarını kapatır. Risk sınıflandırması konusunda anlaşmazlıklar var.
Duyuru
Mitel, güvenlik açıklarına ilişkin uyarı veren çeşitli güvenlik tavsiyeleri yayınladı. 6970 Konferans Birimi de dahil olmak üzere Mitel 6800 Serisi, 6900 Serisi ve 6900w SIP telefonları etkilenmektedir.
Mitel SIP Telefonunun Eksiklikleri: Farklı Risk Derecelendirmeleri
Mitel, tüm güvenlik ihlallerini orta riskli olarak sınıflandırır. Ancak Federal Bilgi Güvenliği Dairesi'nin (BSI) CERT-Bund'u, bunların CVSS değeri 9,8 olan kritik güvenlik açıkları olduğu sonucuna varıyor. Ancak özet, Mitel tarafından belirtilen etkiyle hemen hemen aynıdır: Uzaktan, anonim saldırganlar “rastgele kod yürütmek, hizmet reddi durumuna neden olmak veya hassas bilgileri ifşa etmek için Mitel SIP Telefonundaki birden fazla güvenlik açığından yararlanabilir.”
Mitel'e göre en ciddi güvenlik açığı, saldırganların cihaz bağlamında rastgele komutlar yürütmesine, SIP telefon yapılandırmasını değiştirmesine ve hassas bilgilere erişmesine olanak tanıyor. Ancak bunun için idari haklara ihtiyaç vardır (CVE-2024-31966). Ancak, önceden kimlik doğrulama yapılmaksızın, saldırganlar güvenlik açığı olan cihazlara erişebilir ve SIP telefon yapılandırmasını değiştirebilir, bu da hizmet reddi durumuna yol açabilir (CVE-2024-31964). Benzer bir güvenlik açığı, kayıtlı olmayan saldırganların kullanıcı bilgilerine veya yapılandırmasına yetkisiz erişim elde etmesine olanak tanır ve bu da gizliliği azaltabilir (CVE-2024-31967).
Mitel, bir güvenlik açıkları zincirinin kötü amaçlı kod kaçakçılığına izin verip vermeyeceği konusunda somut bir bilgi sunmuyor. CERT-Bund, kritik boşlukların değerlendirilmesinin nasıl gerçekleştiğini bile açıklamıyor. Orada sorduk ve yanıt verirsek mesajı buna göre güncelleyeceğiz.
Özellikle etkilenenler, donanım yazılımı sürümü 6.3 SP3 HF4 ve önceki sürümlere sahip Mitel 6800 ve 6900 Serisi SIP telefonların yanı sıra donanım yazılımı sürümü 6.3.3 ve önceki sürümlere sahip Mitel 6900 Serisi SIP telefonlarıdır. Ek olarak, 5.1.1 SP8 ve önceki sürümlere sahip Mitel 6970 Konferans Birimi de savunmasızdır. Mitel, tüm cihazlar için güvenlik açıklarını kapatan firmware 6.4 ve üzerini sağlar.
Mitel'in güvenlik tavsiyeleri aşağıdaki gibidir:
Güncelleme
19 Nisan 2024,
öğleden sonra 2.01
Saat
CERT-Bund, değerlendirmesinde başlangıçta ağın potansiyel olarak sömürülebileceğini öne sürdü. Mitel tavsiyesinde en ciddi eksiklik için belirtilen CVSS vektörü, “Gerekli Ayrıcalıklar (PR) = N” ile, açıklayıcı metinden farklı olarak ne yönetici hakları ne de ayrıcalıkların gerekli olduğunu gösterir. Üreticinin bir çelişkisi var. Bu konuda talepte bulunduk.
(Bilmiyorum)
Haberin Sonu
Duyuru
Mitel, güvenlik açıklarına ilişkin uyarı veren çeşitli güvenlik tavsiyeleri yayınladı. 6970 Konferans Birimi de dahil olmak üzere Mitel 6800 Serisi, 6900 Serisi ve 6900w SIP telefonları etkilenmektedir.
Mitel SIP Telefonunun Eksiklikleri: Farklı Risk Derecelendirmeleri
Mitel, tüm güvenlik ihlallerini orta riskli olarak sınıflandırır. Ancak Federal Bilgi Güvenliği Dairesi'nin (BSI) CERT-Bund'u, bunların CVSS değeri 9,8 olan kritik güvenlik açıkları olduğu sonucuna varıyor. Ancak özet, Mitel tarafından belirtilen etkiyle hemen hemen aynıdır: Uzaktan, anonim saldırganlar “rastgele kod yürütmek, hizmet reddi durumuna neden olmak veya hassas bilgileri ifşa etmek için Mitel SIP Telefonundaki birden fazla güvenlik açığından yararlanabilir.”
Mitel'e göre en ciddi güvenlik açığı, saldırganların cihaz bağlamında rastgele komutlar yürütmesine, SIP telefon yapılandırmasını değiştirmesine ve hassas bilgilere erişmesine olanak tanıyor. Ancak bunun için idari haklara ihtiyaç vardır (CVE-2024-31966). Ancak, önceden kimlik doğrulama yapılmaksızın, saldırganlar güvenlik açığı olan cihazlara erişebilir ve SIP telefon yapılandırmasını değiştirebilir, bu da hizmet reddi durumuna yol açabilir (CVE-2024-31964). Benzer bir güvenlik açığı, kayıtlı olmayan saldırganların kullanıcı bilgilerine veya yapılandırmasına yetkisiz erişim elde etmesine olanak tanır ve bu da gizliliği azaltabilir (CVE-2024-31967).
Mitel, bir güvenlik açıkları zincirinin kötü amaçlı kod kaçakçılığına izin verip vermeyeceği konusunda somut bir bilgi sunmuyor. CERT-Bund, kritik boşlukların değerlendirilmesinin nasıl gerçekleştiğini bile açıklamıyor. Orada sorduk ve yanıt verirsek mesajı buna göre güncelleyeceğiz.
Özellikle etkilenenler, donanım yazılımı sürümü 6.3 SP3 HF4 ve önceki sürümlere sahip Mitel 6800 ve 6900 Serisi SIP telefonların yanı sıra donanım yazılımı sürümü 6.3.3 ve önceki sürümlere sahip Mitel 6900 Serisi SIP telefonlarıdır. Ek olarak, 5.1.1 SP8 ve önceki sürümlere sahip Mitel 6970 Konferans Birimi de savunmasızdır. Mitel, tüm cihazlar için güvenlik açıklarını kapatan firmware 6.4 ve üzerini sağlar.
Mitel'in güvenlik tavsiyeleri aşağıdaki gibidir:
- Güvenlik Bülteni Kimliği: 24-0009-001 CVE-2024-31966, CVSS 6.8Mitel'e göre risk”orta“
- Güvenlik Bülteni Kimliği: 24-0006-001 CVE-2024-31966, CVSS 6.5, orta
- Güvenlik Bülteni Kimliği: 24-0007-001 CVE-2024-31964, CVSS 6.5, orta
- Güvenlik Bülteni Kimliği: 24-0010-001 CVE-2024-31967, CVSS 5.3, orta
- Güvenlik Bülteni Kimliği: 24-0008-001 CVE-2024-31965, CVSS 4.9, orta
Güncelleme
19 Nisan 2024,
öğleden sonra 2.01
Saat
CERT-Bund, değerlendirmesinde başlangıçta ağın potansiyel olarak sömürülebileceğini öne sürdü. Mitel tavsiyesinde en ciddi eksiklik için belirtilen CVSS vektörü, “Gerekli Ayrıcalıklar (PR) = N” ile, açıklayıcı metinden farklı olarak ne yönetici hakları ne de ayrıcalıkların gerekli olduğunu gösterir. Üreticinin bir çelişkisi var. Bu konuda talepte bulunduk.
(Bilmiyorum)
Haberin Sonu