Teils kritische Sicherheitslücken in Mitel MiVoice Connect
(Bild: AFANASEV IVAN/Shutterstock.com)
In Mitels MiVoice Connect und Connect Mobility Router klaffen teils kritische Sicherheitslücken. Updates zum Schließen stehen bereit.
Mitel warnt vor teils kritischen Sicherheitslücken in MiVoice Connect und Connect Mobility Router. Angreifer aus dem lokalen Netzwerk können dadurch beliebigen Code ausführen. Der Hersteller liefert Updates, die die Lücken schließen sollen.
MiVoice Connect: Kritische Sicherheitslücke
In den Server-Komponenten Headquarters, Windows DVS und Linux DVS findet eine nur unzureichende Zugriffskontrolle statt, erklärt Mitel in einem Security-Advisory [1]. Nicht authentifizierte Angreifer aus dem lokalen Netz können das missbrauchen, um beliebige Skripte auszuführen (CVE-2023-31457, CVE-2023-32748; noch kein CVSS-Wert, Risiko "kritisch"). Im Edge-Gateway von MiVoice Connect können sich bösartige Akteure aufgrund von Standardpasswörtern Adminstratorrechte [2] verschaffen (CVE-2023-31458, kein CVSS, Risiko "hoch").
Cross-Site-Scripting-Lücken in der [3] index.php- sowie test_presenter.php-Seite der Konferenz-Komponente von MiVoice Connect ermöglichen Angreifern, beliebigen Skript-Code auszuführen (CVE-2023-25598, CVE-2023-25599; kein CVSS-Wert, Risiko "mittel"). Betroffen sind MiVoice-Connect-Version bis einschließlich 19.3 SP2 (22.24.1500.0). Aktualisierte Software steht bereit, die die Schwachstellen ausbessert. Zudem sollen Kunden sicherstellen, komplexe Passwörter für alle Edge-Gateway-Konten zu vergeben, empfiehlt Mitel.
Im Connect Mobility Router hat Mitel ebenfalls auf Standard-Passwörter [4] gesetzt, was bösartigen Akteuren Zugriff mit Administratorrechten ermöglicht (CVE-2023-31459, kein CVSS-Wert, Risiko "hoch"). Durch eine weitere Lücke können authentifizierte Angreifer Befehle einschleusen, die Connect Mobility Router im Systemkontext ausführt. Mitel gibt keinerlei Hinweise, wie die Lücke konkret aussieht (CVE-2023-31460, kein CVSS-Wert, Risiko "hoch").
Die sicherheitskritischen Fehler finden sich im Connect Mobility Router Version 9.6.2208.101 und vorherige. Neuere Software-Stände bügeln sie aus. Zudem empfiehlt Mitel Kunden auch hier, sicherzustellen, dass die Konten auf dem Connect Mobility Router mit komplexen Passwörtern versehen werden.
Sicherheitslücken in Mitels MiVoice-Produkten wurden in der Vergangenheit öfter von Angreifern missbraucht [5]. IT-Verantwortliche sollten die bereitstehenden Software-Aktualisierungen daher zügig herunterladen und installieren.
(dmk [6])
URL dieses Artikels:
https://www.heise.de/-9064992
Links in diesem Artikel:
[1] https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-23-0004
[2] https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-23-0005
[3] https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-23-0003
[4] https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-23-0006
[5] https://www.heise.de/news/Warnung-vor-Angriffen-auf-IBM-Aspera-Faspex-und-Mitel-MiVoice-7523870.html
[6] mailto:dmk@heise.de
Copyright © 2023 Heise Medien