Mitel lança correção para falha crítica que permite tomar controlo de sistemas de comunicação

A Mitel anunciou o lançamento de correções de segurança críticas para a sua plataforma de comunicações empresariais MiVoice MX-ONE, após ter identificado uma vulnerabilidade com potencial elevado de exploração. A falha pode permitir a cibercriminosos não autenticados obterem direitos de administrador, representando um risco sério para as organizações que utilizam o sistema.

Embora ainda não tenha sido atribuído um identificador CVE, a vulnerabilidade recebeu uma classificação de 9,4 na escala CVSS, o que a coloca perto do nível mais elevado de severidade. Segundo a Mitel, trata-se de um problema de bypass de autenticação no componente Provisioning Manager, causado por controlos de acesso mal implementados.

“Foi identificada uma vulnerabilidade de bypass de autenticação no componente Provisioning Manager do Mitel MiVoice MX-ONE, que, se explorada com sucesso, poderia permitir que um atacante não autenticado conduzisse um ataque devido a um controlo de acesso inadequado”, refere a empresa em comunicado.

A falha afeta versões entre a 7.3 (7.3.0.0.50) e a 7.8 SP1 (7.8.1.0.14) da plataforma. Para corrigir o problema, a Mitel lançou os patches MXO-15711_78SP0 e MXO-15711_78SP1, respetivamente para as versões 7.8 e 7.8 SP1.

A empresa recomenda fortemente que os clientes apliquem as correções de imediato e alerta para a necessidade de não expor os serviços MX-ONE à internet. A restrição de acesso ao Provisioning Manager ou a sua desativação são também apontadas como medidas de mitigação eficazes.

Até ao momento, a empresa de cibersegurança Arctic Wolf afirma não ter identificado uma exploração ativa da vulnerabilidade, nem existe prova de conceito (PoC) disponível publicamente. No entanto, especialistas alertam para o facto de outras vulnerabilidades em produtos Mitel já terem sido exploradas anteriormente.