Критическая дыра в IP-телефонии позволяет взломать любую компанию одним кликом

Mitel MiVoice MX-ONE MiCollab уязвимость SQL-инъекция аутентификация CVE-2025-52914
Критическая дыра в IP-телефонии позволяет взломать любую компанию одним кликом
Mitel MiVoice MX-ONE MiCollab уязвимость SQL-инъекция аутентификация CVE-2025-52914

Разработчики рекомендуют изолировать системы от внешних сетей до установки патчей.

image

В продукции Mitel обнаружена серьёзная уязвимость , способная полностью подорвать безопасность корпоративной IP-телефонии. Речь идёт о критической ошибке в системе управления Provisioning Manager, входящей в состав MiVoice MX-ONE — программного комплекса, используемого для организации голосовой связи на предприятиях. Проблема заключается в некорректной системе контроля доступа, позволяющей обойти процесс аутентификации.

Если злоумышленник воспользуется этой брешью, он сможет получить доступ к учётным записям, включая административные, без необходимости ввода пароля. Фактически это открывает прямой путь к захвату управления системой. уязвимость затрагивает версии от 7.3 (7.3.0.0.50) до 7.8 SP1 (7.8.1.0.14), и пока ей не присвоен идентификатор CVE, но уже присвоена критическая оценка по шкале CVSS — 9.4 из 10.

Компания Mitel выпустила обновления безопасности в рамках пакетов MXO-15711_78SP0 и MXO-15711_78SP1, охватывающих версии 7.8 и 7.8 SP1 соответственно. Для остальных версий, начиная с 7.3, пользователям необходимо обратиться к своему авторизованному партнёру Mitel с запросом на обновление.

До момента установки исправлений предлагается временное решение — ограничить доступ к компонентам MX-ONE из внешних сетей и переместить систему в доверенный сегмент инфраструктуры, тем самым снизив риск удалённого взлома.

Однако это не единственная проблема, устранённая в свежем обновлении от Mitel. Одновременно была закрыта серьёзная уязвимость в платформе MiCollab — программном продукте, отвечающем за коммуникации и управление пользователями. В данном случае речь идёт о возможности проведения SQL-инъекции — типа атаки, при котором злоумышленник с действующей учётной записью может отправить произвольные SQL-команды на сервер.

Данный недостаток затрагивает MiCollab версии от 10.0 (10.0.0.26) до 10.0 SP1 FP1 (10.0.1.101), а также версию 9.8 SP3 (9.8.3.1) и более ранние. Он получил идентификатор CVE-2025-52914 и оценку 8.8 балла по CVSS. Согласно разъяснению Mitel, при успешной атаке возможно чтение или модификация конфиденциальной информации, включая данные о пользователях, а также нарушение работоспособности системы в целом. Обновления до версий 10.1 (10.1.0.10) и 9.8 SP3 FP1 (9.8.3.103) уже доступны.

В свете факта, что ранее устройства Mitel уже подвергались реальным атакам, специалисты настоятельно рекомендуют не откладывать обновление и установить исправления в кратчайшие сроки. Любая задержка с обновлением способна привести к утечке данных или захвату управления инфраструктурой связи.