Mitel Networks ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Authentication bypass ที่มีความรุนแรงระดับ Critical ซึ่งส่งผลกระทบต่อแพลตฟอร์มการสื่อสารระดับองค์กรอย่าง MiVoice MX-ONE
MX-ONE เป็นระบบการสื่อสารที่ใช้โปรโตคอล SIP ของ Mitel ซึ่งสามารถขยายระบบเพื่อรองรับผู้ใช้งานได้หลายแสนคน
ช่องโหว่ระดับ Critical เป็นช่องโหว่ improper access control ซึ่งถูกพบใน MiVoice MX-ONE Provisioning Manager component โดยยังไม่มีการกำหนดหมายเลข CVE
โดยช่องโหว่นี้ทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถใช้ประโยชน์จากช่องโหว่นี้ได้ โดยไม่จำเป็นต้องอาศัยการโต้ตอบจากผู้ใช้ เพื่อเข้าถึงบัญชีผู้ดูแลระบบโดยไม่ได้รับอนุญาตบนระบบที่ยังไม่ได้รับการอัปเดตแพตช์
ตามที่ Mitel ระบุ ช่องโหว่ดังกล่าวส่งผลกระทบต่อ MiVoice MX-ONE ที่ใช้เวอร์ชัน 7.3 (7.3.0.0.50) ถึง 7.8 SP1 (7.8.1.0.14) และได้รับการแก้ไขแล้วในเวอร์ชัน 7.8 (MXO-15711_78SP0) และ 7.8 SP1 (MXO-15711_78SP1) เรียบร้อยแล้ว
Mitel ระบุว่า ห้ามเปิด MX-ONE services ให้เข้าถึงได้จาก public internet โดยตรง และควรติดตั้งระบบ MX-ONE ภายในเครือข่ายที่เชื่อถือได้ และสามารถลดความเสี่ยงได้โดยการจำกัดสิทธิ์การเข้าถึงบริการ Provisioning Manager
สำหรับลูกค้าที่ใช้งาน MiVoice MX-ONE เวอร์ชัน 7.3 ขึ้นไป แนะนำให้ส่งคำขอแพตช์อัปเดตไปยัง Mitel ผ่านทาง authorized service partner
เมื่อวันที่ 25 กรกฎาคม Mitel ยังเปิดเผยช่องโหว่ SQL Injection ความรุนแรงระดับ High (CVE-2025-52914) ในแพลตฟอร์มการทำงานร่วมกันของบริษัทที่ชื่อว่า MiCollab ซึ่งสามารถถูกนำไปใช้ในการโจมตีเพื่อรันคำสั่ง SQL ได้ตามต้องการบนฐานข้อมูล ของอุปกรณ์ที่ยังไม่ได้รับการอัปเดตแพตช์
แม้ว่าช่องโหว่ทั้งสองรายการนี้ยังไม่มีรายงานว่าถูกนำมาใช้ในการโจมตีจริง แต่เมื่อเดือนมกราคมที่ผ่านมา CISA ได้แจ้งเตือนหน่วยงานรัฐบาลกลางเกี่ยวกับช่องโหว่ path traversal ใน MiCollab (CVE-2024-55550) ซึ่งถูกนำมาใช้โจมตีแล้ว และช่วยให้ผู้โจมตีที่ผ่านการยืนยันตัวตน และมีสิทธิ์ระดับผู้ดูแลระบบ สามารถอ่านไฟล์ได้ตามต้องการ บนเซิร์ฟเวอร์ที่มีช่องโหว่ได้
หนึ่งเดือนก่อนหน้านี้ บริษัท Mitel ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ Zero-day ที่เป็นช่องโหว่ประเภท arbitrary file read ในผลิตภัณฑ์ MiCollab ซึ่งมีหมายเลข CVE-2024-41713 ซึ่งถูกพบโดยนักวิจัยของ watchTowr Labs ที่อาจทำให้ผู้โจมตีสามารถเข้าถึงไฟล์บน file system ของเซิร์ฟเวอร์ได้
ผลิตภัณฑ์ของ Mitel มีผู้ใช้งานมากกว่า 60,000 ราย และผู้ใช้มากกว่า 75 ล้านรายในภาคส่วนต่าง ๆ เช่น การศึกษา, สาธารณสุข, บริการทางการเงิน, ภาคการผลิต และหน่วยงานภาครัฐ
ที่มา : bleepingcomputer
You must be logged in to post a comment.