FALHAS em Mitel MiCollab e Oracle WebLogic
8 de Janeiro de 2025

A Agência de Segurança de Cibersegurança e Infraestrutura dos EUA (CISA) adicionou na terça-feira três falhas que afetam o Mitel MiCollab e o Oracle WebLogic Server ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), citando evidências de exploração ativa.

A lista de vulnerabilidades é a seguinte:

-CVE-2024-41713 (pontuação CVSS: 9.1) - Uma vulnerabilidade de path traversal no Mitel MiCollab que poderia permitir a um atacante obter acesso não autorizado e não autenticado.

- CVE-2024-55550 (pontuação CVSS: 4.4) - Uma vulnerabilidade de path traversal no Mitel MiCollab que poderia permitir a um atacante autenticado com privilégios administrativos ler arquivos locais no sistema devido à insuficiente sanitização de entrada.

- CVE-2020-2883 (pontuação CVSS: 9.8) - Uma vulnerabilidade de segurança no Oracle WebLogic Server que poderia ser explorada por um atacante não autenticado com acesso à rede via IIOP ou T3.

Vale ressaltar que o CVE-2024-41713 poderia ser encadeado com o CVE-2024-55550 para permitir que um atacante remoto não autenticado lesse arquivos arbitrários no servidor.

Detalhes sobre as falhas gêmeas surgiram no mês passado, seguindo um relatório do WatchTowr Labs, que descobriu os problemas como parte de seus esforços para replicar outra bug crítica no Mitel MiCollab (CVE-2024-35286, pontuação CVSS: 9.8) que foi corrigida em Maio de 2024.

Quanto ao CVE-2020-2883 , a Oracle alertou no final de abril de 2020 que havia "relatórios de tentativas de explorar maliciosamente várias vulnerabilidades recentemente corrigidas, incluindo a vulnerabilidade CVE-2020-2883 ".

Atualmente, não há detalhes disponíveis sobre como as falhas mencionadas são exploradas em ataques reais, quem pode estar explorando-as ou os alvos dessas atividades.

Conforme a Diretriz Operacional Vinculativa (BOD) 22-01, agências do Ramo Executivo Civil Federal (FCEB) são obrigadas a aplicar as atualizações necessárias até 28 de janeiro de 2025, para proteger suas redes.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...