Cisco Secure Email Gateway Arbitrary File Write Vulnerability (Critical)
Dinsdag, 23 juli 2024
Inleiding
Cisco heeft een kritieke kwetsbaarheid ontdekt (CVSS Score 9.8) in de content scanning en message filtering features van Cisco Secure Email Gateway dat een niet-geauthenticeerde, remote aanvaller kan toelaten om bestanden te overschrijven van het onderliggende besturingssysteem. Dit is mogelijk door het incorrect afhandelen van e-mail bijlages wanneer de file analysis en content filters ingeschakeld zijn.
Deze kwetsbaarheid, CVE-2024-20401, kan uitgebuit worden door een aanvaller door middel van het versturen van een e-mail met bijlage via een getroffen apparaat. De aanvaller kan dan volgende acties ondernemen: gebruikers toevoegen met root privileges, de configuratie van het apparaat aanpassen, willekeurige code uitvoeren, of een permanente denial of service (DoS) conditie veroorzaken op het apparaat. In het geval van een DoS aanval is manuele interventie vereist om hiervan te herstellen.
Voor klanten die Cisco Secure Email Cloud Gateway gebruiken, is er geen actie vereist.
Betrokken producten
Kwetsbare producten
Cisco Secure Email Gateway is betrokken als het een kwetsbare versie van Cisco AsyncOS gebruikt en voldoet aan onderstaande voorwaarden:
- Of file analysis (onderdeel van Cisco Advanced Malware Protection, AMP), of de content filter feature is ingeschakeld en toegewezen aan een inkomende mail policy
- Content Scanner Tools versie vroeger dan 23.3.0.4823
Informatie over welke Cisco software versies kwetsbaar zijn kan hier geraadpleegd worden.
Vaststellen of file analysis ingeschakeld is
Doorloop deze stappen om te bepalen of file analysis ingeschakeld werd:
- Verbind met het web management interface
- Kies Mail Policies > Incoming Mail Policies > Advanced Malware Protection
- Kies een Mail Policy en bekijk de waarde van Enable File Analysis
File analysis is ingeschakeld als het vinkje aan staat.
Bepaal de versie van de Content Scanner Tools
Gebruik het Command Line Interface (CLI) commando contentscannerstatus om de versie te bepalen.
Producten die niet kwetsbaar zijn
Onderstaande producten zijn niet kwetsbaar voor deze CVE:
- Secure Email and Web Manager
- Secure Web Appliance
Workarounds
Momenteel zijn er geen workarounds beschikbaar, maar Cisco heeft software updates uitgegeven om dit probleem aan te pakken. Het advies kan hier gelezen worden.
De updated versies voor de Content Scanner Tools (23.3.0.4823 en later) verhelpen deze kwetsbaarheid en zijn standaard inbegrepen in Cisco AsyncOS voor Cisco Secure Email Software (15.5.1-055 en later).