Wahalifu wa mtandao wanatumia kikamilifu udhaifu mbili katika Mitel MiCollab, ikiwa ni pamoja na dosari ya siku sifuri – na athari muhimu ya utekelezaji wa msimbo wa mbali katika Seva ya Oracle WebLogic ambayo imetumiwa vibaya kwa angalau miaka mitano. Hizi ndizo tatu, zote ambazo Wakala wa Usalama wa Mtandao na Miundombinu wa Marekani (CISA) iliongeza kwenye Katalogi yake ya Athari Zilizotumiwa Zinazojulikana kulingana na ushahidi wa unyonyaji unaoendelea: CVE-2024-41713 Mitel MiCollab Path Traversal Vulnerability: Kiraka kinapatikana, kuvuja kwa data au kufutwa. inawezekana na watumiaji ambao hawajaidhinishwa CVE-2024-55550 Mitel Athari ya Kupitia MiCollab Njia: Kiraka hakipatikani, uvujaji wa data kwa watumiaji wasimamizi walioidhinishwa CVE-2020-2883 Oracle WebLogic Server Athari Isiyobainishwa: Kiraka kinapatikana, utekelezaji wa msimbo wa mbali kupitia uondoaji Mbili kati ya tatu – CVE-2024, CVEracle1’s Mitel na CVEracle1’s Mitel. -2020-2883 – zimerekebishwa na wachuuzi husika, wakati CVE-2024-55550 inabaki katika mtiririko; watafiti wa usalama wametoa maonyo kwa miezi kadhaa kuhusu hitilafu hizi za Mitel na kwa miaka mingi kuhusu Oracle’s. Inaenda bila kusema, lakini ikiwa bado haujafanya: Pata kuweka viraka ASAP, ikiwa unaweza. Mafisadi wameanza vyema mbio hizi. Hitilafu mbili za Mitel huathiri bidhaa ya MiCollab ya muuzaji katika matoleo 9.8 SP1 FP2 (9.8.1.201) na mapema. Zote mbili ni udhaifu wa kipitia njia, huku mmoja (CVE-2024-41713) akipokea ukadiriaji muhimu wa 9.8 CVSS na mwingine (CVE-2024-55550) alama ya chini ya 2.7. MiCollab ni zana ya ushirikiano wa kibiashara inayotumiwa sana na anuwai ya vipengele ikiwa ni pamoja na sauti, video, ujumbe wa gumzo, SMS, mikutano ya wavuti na kushiriki faili. CVE muhimu huathiri sehemu ya NuPoint Unified Messaging (NPM) ya MiCollab kutokana na uthibitishaji wa ingizo lisilotosha. Mshambulizi ambaye hajaidhinishwa anaweza kutumia shimo hili vibaya kufanya shambulio la traversal na kutazama, kufisidi au kufuta data ya watumiaji na usanidi wa mfumo. Mitel ilirekebisha hii mnamo Oktoba. Mwezi uliopita tu, Mitel iliongeza hatari ya pili, ya ukali wa chini kwa ushauri sawa wa usalama baada ya wawindaji wa hitilafu katika watchTowr kuchapisha uthibitisho wa dhana (PoC) inayoonyesha jinsi dosari hizi zinavyoweza kuunganishwa pamoja kwa uwezekano wa athari kubwa zaidi. Wakati huo, CVE-2024-55550 haikuwa na marekebisho au CVE iliyokabidhiwa kwayo. Sasa ina CVE lakini bado hakuna marekebisho: “CVE-2024-55550, imepunguzwa kwa kiasi kikubwa na MiCollab 9.8 SP2 (9.8.2.12),” kulingana na sasisho la ushauri wa usalama la Mitel la Desemba 12. “Suala hili la ukali wa chini litashughulikiwa katika sasisho za bidhaa zijazo.” Mitel ilimsifu Sonny Macdonald wa watchTowr kwa kutambua na kuripoti udhaifu wote, na timu ya watchTowr ilisema walisubiri zaidi ya siku 100 kwa mchuuzi wa programu ya biashara kutoa marekebisho kabla ya kwenda kwa umma na PoC. Ingawa hatujui ni nani anayetumia vibaya dosari hizi, na kwa madhumuni gani – CISA inasema “haijulikani” ikiwa mojawapo imetumika katika kampeni za ukombozi – Mkurugenzi Mtendaji wa watchTowr Benjamin Harris aliambia Rejista kwamba aina hii ya programu inavutia sana serikali- snoops zinazoungwa mkono. “Majukwaa ya VoIP ni malengo ya juisi kwa APT, na kujenga fursa ya kusikiliza kwenye simu, kuingilia kati yao au hata kuwazuia kwa mapenzi,” Harris alisema. “Tunafuraha kuwa tuliweza kutahadharisha sekta hii kuhusu udhaifu huu na athari zake kabla ya CISA kuziweka alama kama KEV, kutokana na tathmini yetu kwamba wangepokea usikivu wa mwigizaji tishio wa ulimwengu halisi.” Msemaji wa Mitel alikataa kujibu maswali mahususi ya Sajili, na alituambia kuwa kampuni haitoi maoni kuhusu matukio ya unyanyasaji. “Kipaumbele chetu kikuu ni kuhakikisha kuegemea na usalama wa suluhisho tunazotoa wateja wetu,” msemaji huyo alisema. “Hivi majuzi tuligundua udhaifu unaohusiana na MiCollab na tumechapisha vitendo vilivyopendekezwa, pamoja na masasisho ya programu, ili kupunguza hatari. Tunawahimiza sana wateja kutumia masasisho yote ya usalama yanapopatikana.” Oracle RCE chini ya unyonyaji … miaka mitano baadaye Oracle flaw mwenye umri wa miaka mitano, CVE-2020-2883, pia alipata alama muhimu, 9.8 CVSS. Kulingana na CISA: “Oracle WebLogic Server, bidhaa iliyo ndani ya Suite ya Fusion Middleware, ina hatari isiyobainishwa inayoweza kutumiwa na mvamizi ambaye hajaidhinishwa na ufikiaji wa mtandao kupitia IIOP au T3.” Kampuni kubwa ya hifadhidata ilirekebisha athari hii mnamo Aprili 2020. Mtafiti wa Usalama wa Mtandao wa Viettel, Bui Duong, kupitia Trend Micro’s Zero Day Initiative, aliripoti athari hii, ambayo iliruhusu washambuliaji kukwepa hitilafu ya awali (CVE-2020-2555). Pia mnamo 2020, Oracle na CISA walionya kwamba CVE-2020-2883 ilikuwa ikinyonywa porini. Oracle haikujibu mara moja maswali ya Daftari kuhusu dosari hii, ikiwa ni pamoja na upeo wa ushujaa wa sasa. ® Ujumbe wa Mhariri: Hadithi hii ilirekebishwa baada ya uchapishaji na maoni kutoka kwa Mitel. URL ya Chapisho Halisi: https://go.theregister.com/feed/www.theregister.com/2025/01/08/mitel_0_day_oracle_rce_under_exploit/