Mitel устраняет критическую уязвимость: угрозы для корпоративных систем связи
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Компания Mitel Networks объявила об устранении двух серьёзных уязвимостей в своих продуктах, которые могли бы позволить злоумышленникам получить административный доступ и внедрить вредоносный код на атакуемых устройствах.
В официальном предупреждении Mitel сообщается об обнаружении крайне опасной ошибки в проверке прав доступа в платформе MiVoice MX-ONE — корпоративной системе объединённых коммуникаций и коллабораций. MiVoice MX-ONE масштабируется от сотен до более чем 100 000 пользователей и подходит как для локальных, так и для облачных (частных и публичных) решений, построенных на SIP-протоколе.
Недостатки в системе контроля доступа были выявлены в компоненте Provisioning Manager. Эта уязвимость позволяла киберпреступникам получить административные права без взаимодействия с жертвой. Оценка рисков — 9,4 балла из 10 (наивысший уровень опасности). Проблема касается версий с 7.3 (7.3.0.0.50) до 7.8 SP1 (7.8.1.0.14) и уже закрыта в версиях 7.8 (MXO-15711_78SP0) и 7.8 SP1 (MXO-15711_78SP1).
Mitel предостерегает: не размещайте сервисы MX-ONE в открытых сетях, используйте доверенную инфраструктуру, а доступ к Provisioning Manager ограничьте только необходимыми сотрудниками.
Второй устранённый сбой — опасная уязвимость типа "SQL-инъекция" в платформе совместной работы MiCollab (идентификатор CVE-2025-52914). Она позволяла злоумышленникам выполнять любые команды в базе данных продукта.
На момент публикации сообщения об инцидентах эксплуатации в реальной среде не поступало, но эксперты отмечают: многие преступники внимательно следят за подобными новостями, чтобы воспользоваться уязвимостями до того, как организации успеют обновить системы. Часто такие промедления приводят к серьёзным последствиям, ведь далеко не все компании быстро устанавливают необходимые патчи, а объём потенциальных жертв вышеперечисленных уязвимостей может быть всё ещё значительным.
Подводя итог: если вы используете продукты Mitel для корпоративной связи, срочно проверьте актуальность версий и не забудьте об ограничениях доступа к критичным компонентам.
PEREC.RU
Mitel снова заняла своё место на сцене корпоративной безопасности — и всё ради нового сезона шоу «Кто не обновился, тот виноват». Прекрасным утром разработчики обнаружили, что Provisioning Manager в MiVoice MX-ONE позволял любому настроенному злоумышленнику брать бразды правления сетью, минуя любые авторизации. Платформа обслуживает до 100 тысяч работников, но, видимо, такой масштаб нужен не только добросовестным компаниям, но и тем, кто любит незаметно проверить электронную почту чужого директора. Версии с 7.3 до 7.8 SP1 теперь со щитом (патч уже выпущен), но мы все прекрасно знаем, что корпоративный мир живёт по принципу «Не сломано — не трогай».
Далее — MiCollab и классика жанра: SQL-инъекция, работающая как швейцарский нож по чужим данным. CVE-2025-52914 теперь у докторов — баг залечили, а у IT-отделов добавилась головная боль — не забыть про патчи. Забавно, что пока злоумышленники наслаждаются сериалом «Где моя халява?» и ждут, кто из корпоративных гигантов забудет про обновление. А сколько ещё таких уязвимостей спит в коде?
Коварство здесь не в появлении проблем, а в том, как долго компании будут делать вид, что их это не касается. Всё как всегда: одна паника, сотни равнодушных, а вывод — не торопись обновляться, если не хочешь стать следующим героем новостных сводок. Мир айти едет по кругу, и Mitel в этом вагоне не одинока.
