БДУ - Уязвимости

BDU:2023-02881: Уязвимость компонента Edge Gateway системы бизнес-телефонии MiVoice Connect VoIP-устройств Mitel, позволяющая нарушителю вносить произвольные изменения в конфигурацию и выполнять произвольные команды

Основная информация
Подробнее

Описание уязвимости

Уязвимость компонента Edge Gateway системы бизнес-телефонии MiVoice Connect VoIP-устройств Mitel связана с отсутствием принудительной смены пароля при первоначальной установке. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вносить произвольные изменения в конфигурацию и выполнять произвольные команды

Вендор

Mitel Networks Corp.

Наименование ПО

MiVoice Connect

Версия ПО

до 19.3 SP2 (22.24.1500.0) включительно

Тип ПО

Сетевое средство, Сетевое программное средство

Операционные системы и аппаратные платформы

Данные уточняются

Тип ошибки

Жесткое кодирование паролей, Неправильный контроль доступа, Слабые требования к паролям

Идентификатор типа ошибки

Класс уязвимости

Уязвимость архитектуры

Дата выявления

17.05.2023

Базовый вектор уязвимости

CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-23-0005

Компенсирующие меры:
смена пароля по умолчанию и задание пароля в соответствии с парольной политикой, принятой в организации.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

Нарушение аутентификации
Злоупотребление функционалом

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-23-0005
https://www.mitel.com/support/security-advisories
https://vuldb.com/ru/?id.229885

Идентификаторы других систем описаний уязвимостей

CVE: CVE-2023-31458

Прочая информация

Данные уточняются

Последние изменения

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

Описание уязвимости

Вендор

Наименование ПО

Версия ПО

Тип ПО

Операционные системы и аппаратные платформы

Тип ошибки

Идентификатор типа ошибки

Класс уязвимости

Дата выявления

Базовый вектор уязвимости

Уровень опасности уязвимости

Возможные меры по устранению уязвимости

Статус уязвимости

Наличие эксплойта

Способ эксплуатации

Способ устранения

Информация об устранении

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

Прочая информация