專門提供企業通訊解決方案的加拿大業者Mitel Networks,近期針對旗下多款SIP電話發佈了更新,修補了兩個嚴重的資安漏洞——CVE-2025-47187與CVE-2025-47188。這兩個漏洞影響了Mitel的6800系列、6900系列與6900w系列電話機,還有6970會議裝置。這些漏洞的發現,讓業界對企業通訊設備的資安風險提高警覺,特別是其中的CVE-2025-47188漏洞,該漏洞是一個命令注入漏洞,成功攻擊後將允許駭客遠端執行任意命令,其CVSS風險評分高達9.8,屬於極其嚴重的威脅。
根據Mitel的解釋,CVE-2025-47188漏洞源自於這些SIP裝置在處理網路請求及協定資料等參數時,未對輸入的數據進行充分過濾,這使得駭客可以利用特製的輸入封包,注入系統命令,且不需要進行身份驗證。駭客利用此漏洞後,可能刪除檔案、植入後門,或竊取包括通話紀錄、裝置配置、用戶憑證等敏感資料,甚至造成設備功能癱瘓,進一步使服務中斷。
另一方面,CVE-2025-47187漏洞源於身份驗證機制的缺陷,該漏洞讓未經授權的使用者能上傳文件,且不需登入或經過身份驗證。雖然這項漏洞的風險較低,僅為中度風險,但駭客可藉此上傳大量文件,如音頻檔案,從而耗盡裝置的儲存空間,雖然不會直接影響電話的可用性,但仍存在潛在風險。
作者強調,這些漏洞的利用需在駭客能夠存取目標電話的網路的情況下才會發生,而根據Mitel的建議,這些SIP電話應當被部署於受保護的內部網路中,因此企業應儘速更新至最新版本的韌體,以確保安全性。此外,Mitel亦為無法立即更新的用戶提供了相應的緩解措施。
總結來看,這兩個漏洞提醒企業,無論是高危的命令注入漏洞,還是中度的身份驗證缺陷,都有可能對企業通訊系統造成重大影響。隨著這類漏洞的發現與修補,企業應該更加重視SIP電話等通訊設備的安全性,並積極採取防範措施,確保資料與服務不會受到威脅。
