นักวิจัยพบช่องโหว่ Zero-day บนแพลตฟอร์ม Mitel MiCollab ที่ช่วยให้ผู้โจมตีสามารถอ่านไฟล์ใด ๆ บนระบบไฟล์ของเซิร์ฟเวอร์ได้
Mitel MiCollab เป็นแพลตฟอร์มการทำงานร่วมกันสำหรับองค์กรที่รวมเครื่องมือติดต่อสื่อสารต่าง ๆ ไว้ในแอปพลิเคชันเดียว โดยมีฟีเจอร์การโทรด้วยเสียง และวิดีโอ, การส่งข้อความ, ข้อมูลสถานะ, การประชุมเสียง, รองรับการใช้งานผ่านอุปกรณ์พกพา และการทำงานร่วมกันในทีม
แพลตฟอร์มดังกล่าวถูกใช้งานโดยองค์กรหลากหลายประเภท ทั้งบริษัทขนาดใหญ่, ธุรกิจขนาดเล็กจนถึงขนาดกลาง และบริษัทที่ดำเนินงานจากระยะไกล หรือแบบไฮบริด
ช่องโหว่ล่าสุดในผลิตภัณฑ์นี้ถูกพบโดยนักวิจัยจาก watchTowr ซึ่งรายงานให้ผู้พัฒนาทราบตั้งแต่เดือนสิงหาคม แต่ผ่านไปกว่า 90 วันแล้ว ช่องโหว่นี้ก็ยังไม่ได้รับการแก้ไข หรือออกแพตช์อัปเดต
watchTowr ติดต่อ Mitel เกี่ยวกับช่องโหว่ใหม่นี้เมื่อวันที่ 26 สิงหาคม โดย Mitel แจ้งว่าจะออกแพตช์ในสัปดาห์แรกของเดือนธันวาคม 2024 อย่างไรก็ตาม ณ เวลาที่เผยแพร่รายงาน ยังไม่มีการอัปเดตใด ๆ บนหน้า Mitel Security Advisory ตามรายงานของ watchTowr ที่เผยแพร่ในวันนี้ (5 ธันวาคม 2024)
ตรวจสอบช่องโหว่ที่ผ่านมาเพื่อนำไปสู่การค้นพบช่องโหว่ใหม่
ช่องโหว่ Zero-day ล่าสุด ซึ่งยังไม่มีหมายเลข CVE ถูกค้นพบขณะการตรวจสอบช่องโหว่ที่ถูกรายงานมาก่อนหน้านี้ใน MiCollab โดยการทดลองเทคนิค path traversal และ Input manipulation
นักวิจัยกำลังตรวจสอบช่องโหว่ CVE-2024-35286 ซึ่งเป็นช่องโหว่ SQL injection ที่ Mitel แก้ไขไปแล้วเมื่อวันที่ 23 พฤษภาคม 2024 และ CVE-2024-41713 ซึ่งเป็นช่องโหว่ authentication bypass ที่ถูกแก้ไขไปแล้วเมื่อวันที่ 9 ตุลาคม 2024
ช่องโหว่ที่ไม่เคยมีการรายงานมาก่อนถูกค้นพบขณะการตรวจสอบ servlet 'ReconcileWizard' โดยการแทรกสตริง path traversal (../../../) ลงในพารามิเตอร์ 'reportName' ของ API request ที่ใช้ XML
ผลจากการทดสอบทำให้นักวิจัยสามารถเข้าถึงไฟล์ที่มีข้อมูลสำคัญ เช่น '/etc/passwd' ซึ่งมีข้อมูลที่เกี่ยวกับบัญชีผู้ใช้ในระบบได้
Proof-of-concept สำหรับการโจมตีช่องโหว่นี้ถูกเผยแพร่เป็นส่วนหนึ่งของรายงานจาก watchTowr
แม้จะมีความรุนแรงน้อยกว่าช่องโหว่ทั้งสองรายการก่อนหน้าที่ถูกกล่าวถึง แต่ช่องโหว่ Zero-day ยังคงถือเป็นภัยคุกคามที่สำคัญ เนื่องจากสามารถทำให้ผู้ใช้งานที่ไม่ได้รับอนุญาตสามารถเข้าถึงไฟล์สำคัญของระบบได้
นอกจากนี้ MiCollab ยังถูกโจมตีโดยผู้ไม่หวังดีอย่างต่อเนื่องในระยะเวลาที่ผ่านมา ดังนั้นจึงไม่ควรมองข้ามความเสี่ยงจากช่องโหว่นี้
คำแนะนำการป้องกัน
เนื่องจากช่องโหว่ยังไม่ได้รับการแก้ไข องค์กรที่ใช้งาน MiCollab ยังคงมีความเสี่ยง และควรดำเนินการป้องกันทันที
มาตรการที่ควรพิจารณามีดังนี้
- จำกัดการเข้าถึงเซิร์ฟเวอร์ MiCollab เฉพาะที่อยู่ IP ที่เชื่อถือได้ หรือเครือข่ายภายในเท่านั้น
- ตั้ง Rules ไฟร์วอลล์ เพื่อป้องกันการเข้าถึงแอปพลิเคชันจากภายนอกโดยไม่ได้รับอนุญาต
- ตรวจสอบ Logs สำหรับพฤติกรรมที่น่าสงสัยที่มุ่งเป้าไปยัง servlet 'ReconcileWizard ' หรือในรูปแบบ path traversal
- ตรวจสอบการเข้าถึงไฟล์ที่สำคัญ หรือข้อมูลการตั้งค่าที่ผิดปกติ
- ควรปิดการใช้งาน หรือจำกัดการเข้าถึง Servlet 'ReconcileWizard'
ท้ายที่สุด ผู้ใช้งานควรตรวจสอบให้แน่ใจว่าใช้เวอร์ชันล่าสุดของ Mitel MiCollab ซึ่งแม้ว่าจะยังไม่ได้แก้ไขช่องโหว่ Zero-day นี้ แต่ก็มีการป้องกันช่องโหว่ที่สำคัญอื่น ๆ ที่เพิ่งถูกค้นพบ
ที่มา : bleepingcomputer
You must be logged in to post a comment.