MiVoice Connect

Die Schwachstelle betrifft die Komponente Service Appliance in der Kommunikationsplattform MiVoice Connect von Mitel – konkret die Modelle SA 100, SA 400 sowie die virtuelle Variante. Ursache ist eine fehlerhafte Prüfung eingehender Daten: Die Komponente validiert übergebene Eingaben nicht korrekt, sodass ein Angreifer manipulierte Daten einschleusen kann. Dadurch lässt sich aus der Ferne beliebiger Programmcode auf dem System ausführen. Ein erfolgreicher Angriff verschafft dem Angreifer die Kontrolle über die betroffene Service Appliance und damit über einen zentralen Bestandteil der Telefonie- und Kommunikationsinfrastruktur. Da diese Appliances den Sprach- und Kommunikationsdienst bereitstellen, betrifft eine Übernahme nicht nur das einzelne Gerät, sondern potenziell die darüber laufende Kommunikation eines Unternehmens. Betroffen sind Organisationen, die MiVoice Connect mit den genannten Service-Appliance-Modellen einsetzen.