Dans un dernier bulletin mardi dernier, l'agence de cybersécurité américaine (CISA) a ajouté à son catalogue de vulnérabilités exploitées connues (KEV) trois failles dont deux concernent la suite d'outils de communication et de collaboration MiCollab de Mitel. De type path traversal, ces trous de sécurité ont servi. « Ces types de vulnérabilités sont des vecteurs d'attaque fréquents pour les cyberattaquants et posent des risques importants pour les agences fédérales », a déclaré la CISA. Les attaques path transversal (ou directory traversal) visent à accéder aux fichiers et aux répertoires qui sont stockés en dehors du dossier racine d'un site web. Les versions 9.8 SP1 FP2 (9.8.1.201) et antérieures de MiCollab sont concernées, et les upgrades 9.8 SP2 (9.8.2.12) ou postérieurs corrigent ces failles.

La première vulnérabilité, répertoriée sous la référence CVE-2024-41713, est critique (CVSS 9.8/10) et affecte le composant NuPoint Unified Messaging de MiCollab qui donne la possibilité à un attaquant non authentifié d'exploiter un manque de validation d'entrée suffisante pour obtenir un accès non autorisé et visualiser, corrompre ou supprimer les données des utilisateurs et les configurations système. « Si la vulnérabilité est exploitée avec succès, un attaquant peut obtenir un accès non authentifié aux informations de provisionnement, y compris des informations non sensibles sur l'utilisateur et le réseau, et effectuer des actions administratives non autorisées sur le serveur MiCollab », prévient Mitel. La seconde faille (CVE-2024-55550), classée comme modérément sévère (CVSS 4.4/10), peut déboucher sur la lecture de fichier local au sein du système en raison d'une vérification insuffisante des entrées. « Une exploitation réussie pourrait permettre à un attaquant authentifié disposant des privilèges d'administration d'accéder à des ressources limitées au niveau d'accès administrateur, et la divulgation est limitée à des informations système non sensibles », a expliqué Mitel. Cette faille ne permet pas cependant de modifier des fichiers ou aboutir à de l'escalade des privilèges.

Des correctifs publiés depuis octobre 2024

Bien que les détails techniques d'exploit n'aient pas été divulgués dans la mise à jour de la CISA, il est important de noter que ces vulnérabilités pourraient être enchaînées pour permettre à des attaquants distants de lire des fichiers système sensibles. En octobre dernier, Mitel avait publié des correctifs pour les versions affectées ainsi que des versions corrigées vers lesquelles les utilisateurs peuvent se mettre à jour. L'exploitation active montre que nombre d'utilisateurs n'ont pas encore procédé à la mise à jour de leurs applications et qu'il est nécessaire de le faire dès que possible. La CISA a recommandé aux agences de l'administration civile fédérale de corriger les systèmes concernés conformément à la directive BOD 22-01, qui exige qu'elles corrigent les failles dans un délai de 15 jours si elles sont activement exploitées.

On se demande bien pourquoi ce délai ne court pas après la publication d'un correctif par un fournisseur... Qui a dit qu'il fallait mieux prévenir que guérir ?