БДУ - Print

BDU:2022-03994: Уязвимость компонента Mitel Service Appliance системы бизнес-телефонии MiVoice Connect VoIP-устройств Mitel, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость компонента Mitel Service Appliance системы бизнес-телефонии MiVoice Connect VoIP-устройств Mitel существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор	Mitel Networks Corp.
Наименование ПО	MiVoice Connect
Версия ПО	до 19.2 SP3 включительно
Тип ПО	Сетевое средство, Сетевое программное средство
Операционные системы и аппаратные платформы	Данные уточняются
Тип ошибки	Недостаточная проверка вводимых данных
Идентификатор типа ошибки	CWE-20
Класс уязвимости	Уязвимость кода
Дата выявления	25.04.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости	Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - использование физического либо логического разграничения доступа к VoIP-сети путем разграничения межсетевыми экранами с выделением отдельной подсети для VoIP-устройств; - использование SBC (Session Border Controller) для VoIP-сети; - использование средств межсетевого экранирования уровня веб-приложений. Использование рекомендаций производителя: https://www.mitel.com/-/media/mitel/file/pdf/support/security-advisories/security-bulletin_22-0002-001-v2.pdf
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует
Способ эксплуатации	Манипулирование ресурсами
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-22-0002 https://www.mitel.com/-/media/mitel/file/pdf/support/security-advisories/security-bulletin_22-0002-001-v2.pdf
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-29499
Прочая информация	Данные уточняются