Source: https://thehackernews.com/2025/07/critical-mitel-flaw-lets-hackers-bypass.html
🛡 概要
MitelのMiVoice MX-ONEにおいて、認証バイパスの重大な脆弱性が発見されました。この脆弱性は、攻撃者が認証保護を回避し、システムへのフルアクセスを得る可能性を秘めています。Mitelはこの問題に対処するためのセキュリティアップデートをリリースしました。特に、Provisioning Managerコンポーネントにおいて、適切なアクセス制御が行われていないために発生しています。この脆弱性が悪用されると、認証されていない攻撃者がユーザーまたは管理者アカウントに不正アクセスすることが可能となります。
🔍 技術詳細
この脆弱性はCVE-2025-52914として登録され、CVSSスコアは9.4と非常に高い評価を受けています。影響を受けるバージョンは、MiVoice MX-ONEの7.3(7.3.0.0.50)から7.8 SP1(7.8.1.0.14)までです。Mitelはこの問題を解決するために、MXO-15711_78SP0およびMXO-15711_78SP1のパッチを提供しています。これらのパッチは、MX-ONEの7.8および7.8 SP1バージョンに適用されます。7.3以降を使用している顧客は、認定サービスパートナーにパッチリクエストを送信することが推奨されています。
⚠ 影響
この脆弱性が悪用されると、攻撃者はMiVoice MX-ONEシステムに対して不正アクセスを行い、ユーザーアカウントや管理者アカウントにアクセスできるようになります。これにより、機密情報の漏洩やシステムの完全性の侵害が発生する可能性があります。さらに、MitelはMiCollabにおける別の高危険度の脆弱性(CVE-2025-52914、CVSSスコア8.8)も報告しており、こちらは認証された攻撃者によるSQLインジェクション攻撃を許可する可能性があります。これにより、ユーザーのプロビジョニング情報にアクセスされる危険性があります。
🛠 対策
この脆弱性に対する対策として、Mitelはすぐにパッチを適用することを推奨しています。特に、MX-ONEサービスをパブリックインターネットに直接露出させないようにし、信頼できるネットワーク内に配置することが重要です。また、過去にはMitelデバイスが攻撃の標的となった事例もあるため、ユーザーは速やかにインストールを更新し、潜在的な脅威を軽減する必要があります。これらの対策を講じることで、システムの安全性を高めることが可能です。
