Alert!

Teils kritische Sicherheitslücken in Mitel MiVoice Connect

In Mitels MiVoice Connect und Connect Mobility Router klaffen teils kritische Sicherheitslücken. Updates zum Schließen stehen bereit.

In Pocket speichern vorlesen Druckansicht

(Bild: AFANASEV IVAN/Shutterstock.com)

Lesezeit: 2 Min.
Von

Mitel warnt vor teils kritischen Sicherheitslücken in MiVoice Connect und Connect Mobility Router. Angreifer aus dem lokalen Netzwerk können dadurch beliebigen Code ausführen. Der Hersteller liefert Updates, die die Lücken schließen sollen.

In den Server-Komponenten Headquarters, Windows DVS und Linux DVS findet eine nur unzureichende Zugriffskontrolle statt, erklärt Mitel in einem Security-Advisory. Nicht authentifizierte Angreifer aus dem lokalen Netz können das missbrauchen, um beliebige Skripte auszuführen (CVE-2023-31457, CVE-2023-32748; noch kein CVSS-Wert, Risiko "kritisch"). Im Edge-Gateway von MiVoice Connect können sich bösartige Akteure aufgrund von Standardpasswörtern Adminstratorrechte verschaffen (CVE-2023-31458, kein CVSS, Risiko "hoch").

Cross-Site-Scripting-Lücken in der index.php- sowie test_presenter.php-Seite der Konferenz-Komponente von MiVoice Connect ermöglichen Angreifern, beliebigen Skript-Code auszuführen (CVE-2023-25598, CVE-2023-25599; kein CVSS-Wert, Risiko "mittel"). Betroffen sind MiVoice-Connect-Version bis einschließlich 19.3 SP2 (22.24.1500.0). Aktualisierte Software steht bereit, die die Schwachstellen ausbessert. Zudem sollen Kunden sicherstellen, komplexe Passwörter für alle Edge-Gateway-Konten zu vergeben, empfiehlt Mitel.

Im Connect Mobility Router hat Mitel ebenfalls auf Standard-Passwörter gesetzt, was bösartigen Akteuren Zugriff mit Administratorrechten ermöglicht (CVE-2023-31459, kein CVSS-Wert, Risiko "hoch"). Durch eine weitere Lücke können authentifizierte Angreifer Befehle einschleusen, die Connect Mobility Router im Systemkontext ausführt. Mitel gibt keinerlei Hinweise, wie die Lücke konkret aussieht (CVE-2023-31460, kein CVSS-Wert, Risiko "hoch").

Die sicherheitskritischen Fehler finden sich im Connect Mobility Router Version 9.6.2208.101 und vorherige. Neuere Software-Stände bügeln sie aus. Zudem empfiehlt Mitel Kunden auch hier, sicherzustellen, dass die Konten auf dem Connect Mobility Router mit komplexen Passwörtern versehen werden.

Sicherheitslücken in Mitels MiVoice-Produkten wurden in der Vergangenheit öfter von Angreifern missbraucht. IT-Verantwortliche sollten die bereitstehenden Software-Aktualisierungen daher zügig herunterladen und installieren.

(dmk)