Verschillende kwetsbaarheden in de NetFax-server van MICI Network zullen niet worden gepatcht, zo heeft de fabrikant aangegeven. Via de beveiligingslekken kan een aanvaller willekeurige code met rootrechten op de server uitvoeren. Eén van de kwetsbaarheden heeft op een schaal van 1 tot en met 10 een impactscore van 9.4. De NetFax-server zorgt ervoor dat gebruikers faxberichten in hun mailbox ontvangen.

Het product bevat drie kwetsbaarheden die gecombineerd remote code execution mogelijk maken. Het eerste probleem is dat het mogelijk is om via een GET request de inloggegevens van de standaard admingebruiker op te vragen. Verder blijkt dat het SMTP-wachtwoord voor het versturen van mail in plaintext staat opgeslagen en via een GET request is te benaderen.

De derde en gevaarlijkste kwetsbaarheid maakt command injection mogelijk, wat tot remote code execution kan leiden. Hoewel authenticatie voor misbruik is vereist, blijkt dat de standaard inloggegevens voor de applicatie automatisch in plaintext naar de client worden gestuurd, wat geautomatiseerd misbruik tegen kwetsbare hosts mogelijk maakt, aldus securitybedrijf Rapid7 dat de problemen ontdekte.

Rapid7 benaderde het Taiwanese Computer Emergency Response Team (TWCERT) voor de coördinatie met MICI Network. De leverancier liet echter weten dat het de kwetsbaarheden in het product niet zal patchen. Volgens MICI Network moeten klanten het product niet vanaf internet toegankelijk maken. Rapid7 zegt dat het op internet 34 NetFax-servers aantrof. Daarnaast zijn kwetsbare servers ook op lokale netwerken te misbruiken. Organisaties krijgen van het securitybedrijf het advies om NetFax-servers alleen voor noodzakelijke interne netwerken toegankelijk te maken en standaard inloggegevens te wijzigen.