0Day en MiCollab: miles de empresas en riesgo por la inacción de Mitel
La compañía ha puesto en peligro los datos confidenciales de sus clientes, convirtiéndose en una herramienta para los hackers.
Especialistas de watchTowr descubrieron una vulnerabilidad de día cero en la plataforma Mitel MiCollab que permite leer archivos arbitrarios. En combinación con una vulnerabilidad crítica previamente corregida, este fallo abre a los atacantes el acceso a datos confidenciales en sistemas vulnerables. Para demostrar la amenaza, se publicó un exploit PoC después de más de 100 días de espera por una solución por parte de los desarrolladores.
Mitel MiCollab es una herramienta de colaboración empresarial utilizada para la comunicación entre empleados y clientes mediante llamadas de voz, videoconferencias, chats, intercambio de archivos y otras funciones. Más de 16,000 instancias del sistema están expuestas públicamente, lo que convierte a MiCollab en un objetivo atractivo para hackers y extorsionadores.
En mayo, los investigadores de watchTowr descubrieron una vulnerabilidad crítica, CVE-2024-35286 (puntuación CVSS: 9.8), en el componente NuPoint Unified Messaging (NPM) de la plataforma MiCollab, que permitía a usuarios no autorizados acceder a información sensible y realizar operaciones con la base de datos. Este fallo fue corregido en mayo.
Posteriormente, el equipo identificó otra vulnerabilidad en el componente NPM (CVE-2024-41713, puntuación CVSS: 7.5), causada por una validación insuficiente de los datos de entrada. El problema permitía eludir la autenticación y daba a los hackers la posibilidad de visualizar, modificar o eliminar datos de usuarios y configuraciones del sistema. La corrección se lanzó en octubre.
Durante el análisis de estas vulnerabilidades, los investigadores descubrieron una tercera falla, que aún no ha recibido un identificador CVE y sigue sin solución. Este problema permite a los usuarios autenticados leer archivos arbitrarios, incluidos aquellos críticos del sistema, como “/etc/passwd”. Para eludir la autenticación, los investigadores combinaron esta vulnerabilidad con la CVE-2024-41713 en su PoC.
Los investigadores reportaron el problema el 26 de agosto. En octubre, Mitel prometió publicar una actualización durante la primera semana de diciembre, pero la solución aún no se ha presentado. En watchTowr declararon que, considerando la falta de actualizaciones tras más de 100 días desde la notificación, la información sobre el problema se incluyó en un informe público.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!