En Último boletín el martes pasadoLa Agencia Americana de Ciberseguridad (CISA) agregó a su catálogo de vulnerabilidades conocidas (KEV) tres fallas, dos de los cuales se refieren a la continuación de las herramientas de comunicación y el micolab de Mitel. Traversal de ruta, se usaron estos agujeros de seguridad. "Estos tipos de vulnerabilidades son vectores de ataque frecuentes para los ataques cibernéticos y representan riesgos significativos para las agencias federales", dijo CISA. Los ataques de ruta transversal (o recorrido de directorio) tienen como objetivo acceder a archivos y directorios que se almacenan fuera de la carpeta raíz de un sitio web. Las versiones 9.8 SP1 FP2 (9.8.1.201) y el anterior de Micollab están preocupados, y las actualizaciones 9.8 SP2 (9.8.2.12) o posterior corrigen estas fallas.

La primera vulnerabilidad, enumerada en la referencia CVE-2024-41713, es crítica (CVSS 9.8/10) y afecta el componente de mensajería UnyPoint Micollab Nupoint que brinda la posibilidad de un atacante no autorizado para explotar una falta de validación suficiente para obtener acceso no autorizado y visualizados, corruptos o eliminados de los datos del usuario y las configuraciones del sistema. "Si la vulnerabilidad se usa con éxito, un atacante puede obtener acceso no autenticado a la información de aprovisionamiento, incluida la información no sensible al usuario y la red, y llevar a cabo acciones administrativas no autorizadas en el servidor Micollab", advierte Mitel. El segundo defecto (CVE-2024-55550), clasificado como moderadamente severo (CVSS 4.4/10), puede conducir a la lectura local de archivos dentro del sistema debido a la verificación insuficiente de las entradas. "Una explotación exitosa podría permitir que un atacante autenticado con privilegios de administración acceda a recursos limitados en términos de acceso al administrador, y la divulgación se limita a la información del sistema no sensible", explicado Mitel. Sin embargo, este defecto no permite modificar archivos o conducir a la escalada de privilegios.

Corrige publicado desde octubre de 2024

Aunque los detalles de la expotlios técnicos no se han revelado en la actualización de CISA, es importante tener en cuenta que estas vulnerabilidades podrían estar encadenadas para permitir a los atacantes remotos leer archivos del sistema confidenciales. En octubre pasado, Mitel había publicado correcciones para versiones afectadas, así como versiones corregidas a las que los usuarios pueden actualizar. La explotación activa muestra que muchos usuarios aún no han actualizado sus aplicaciones y que es necesario hacerlo lo antes posible. La CISA ha recomendado que las agencias federales de la Administración Civil corrijan los sistemas en cuestión de acuerdo con la Directiva BOD 22-01, lo que requiere que corrijan las fallas dentro de los 15 días si se explotan activamente.

Uno se pregunta por qué esta fecha límite no se ejecuta después de la publicación de una solución por parte de un proveedor ... ¿Quién dijo que era mejor prevenir que curar?