СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
25.04.2022

Уязвимость BDU:2022-03994

Уязвимость BDU:2022-03994

Идентификатор: BDU:2022-03994.

Наименование уязвимости: Уязвимость компонента Mitel Service Appliance системы бизнес-телефонии MiVoice Connect VoIP-устройств Mitel, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость компонента Mitel Service Appliance системы бизнес-телефонии MiVoice Connect VoIP-устройств Mitel существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Уязвимое ПО: Сетевое средство, Сетевое программное средство Mitel Networks Corp. MiVoice Connect до 19.2 SP3 включительно |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 25.04.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
— использование физического либо логического разграничения доступа к VoIP-сети путем разграничения межсетевыми экранами с выделением отдельной подсети для VoIP-устройств;
— использование SBC (Session Border Controller) для VoIP-сети;
— использование средств межсетевого экранирования уровня веб-приложений.

Использование рекомендаций производителя:
https://www.mitel.com/-/media/mitel/file/pdf/support/security-advisories/security-bulletin_22-0002-001-v2.pdf.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-29499.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-22-0002
https://www.mitel.com/-/media/mitel/file/pdf/support/security-advisories/security-bulletin_22-0002-001-v2.pdf
https://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: