Een securitybedrijf heeft proof-of-concept exploitcode gepubliceerd waarmee Mitel MiCollab-servers zijn over te nemen. De exploit maakt gebruik van twee kwetsbaarheden. Voor één van de beveiligingslekken is nog geen update beschikbaar. Mitel MiCollab is een communicatieplatform dat 'voice, video, chat, sms, webconferencing en team collaboration tools' combineert. Er zouden meer dan zestienduizend MiCollab-servers vanaf het internet benaderbaar zijn.

In mei van dit jaar kwam Mitel met een beveiligingsupdate voor een kritieke SQL Injection-kwetsbaarheid (CVE-2024-35286). Onderzoekers van securitybedrijf watchTowr wilden zien of ze het beveiligingslek konden reproduceren. De manier waarop de onderzoekers dit deden leverde een nieuwe kwetsbaarheid op, aangeduid als CVE-2024-41713. Het ging om een kritiek path traversal-lek waardoor een ongeauthenticeerde aanvaller op afstand ongeautoriseerde 'administrative actions' op de server kan uitvoeren. Mitel kwam op 9 oktober met een beveiligingsupdate voor dit probleem.

Tijdens verder onderzoek naar het platform ontdekten de onderzoekers dat het mogelijk is voor een geauthenticeerde gebruiker om allerlei war-bestanden van Apache Tomcat te benaderen. Via één van deze bestanden bleek het mogelijk om allerlei willekeurige bestanden op de MiCollab-server te lezen. Deze kwetsbaarheid werd op 26 augustus gerapporteerd, maar Mitel heeft het probleem nog altijd niet verholpen.

Een update zou in de eerste week van december moeten verschijnen, maar is nog altijd niet beschikbaar. De onderzoekers merken op dat het beveiligingslek alleen door een geauthenticeerde gebruiker is te misbruiken. Ze hebben nu proof-of-concept exploitcode gepubliceerd die CVE-2024-41713 en de Arbitrary File Read kwetsbaarheid, die nog geen CVE-nummer heeft, combineert.