Η Cisco διόρθωσε μια κρίσιμη ευπάθεια που επιτρέπει στους εισβολείς να προσθέτουν νέους χρήστες με δικαιώματα root και να κρασάρουν τις συσκευές Security Email Gateway (SEG). Όλα ξεκινούν με την αποστολή email με κακόβουλα συνημμένα.

Η ευπάθεια παρακολουθείται ως CVE-2024-20401 και εντοπίζεται στις δυνατότητες σάρωσης περιεχομένου και φιλτραρίσματος μηνυμάτων των συσκευών SEG. Προκαλείται από μια αδυναμία path traversal που επιτρέπει την αντικατάσταση οποιουδήποτε αρχείου στο υποκείμενο λειτουργικό σύστημα.

Αυτή η ευπάθεια οφείλεται στο μη κατάλληλο χειρισμό των συνημμένων email, όταν είναι ενεργοποιημένη η ανάλυση αρχείων και τα φίλτρα περιεχομένου. Μια επιτυχημένη εκμετάλλευση θα μπορούσε να επιτρέψει στον εισβολέα να αντικαταστήσει οποιοδήποτε αρχείο στο υποκείμενο σύστημα αρχείων“, εξήγησε η Cisco. “Ο εισβολέας θα μπορούσε στη συνέχεια να εκτελέσει οποιαδήποτε από τις ακόλουθες ενέργειες: να προσθέσει χρήστες με δικαιώματα root, να τροποποιήσει τη διαμόρφωση της συσκευής, να εκτελέσει κώδικα ή να προκαλέσει μια κατάσταση denial of service (DoS) στη συσκευή που επηρεάζεται“.

Δείτε επίσης: Σφάλμα Cisco SSM On-Prem επιτρέπει αλλαγή του κωδικού πρόσβασης

Η ευπάθεια CVE-2024-20401 επηρεάζει τις συσκευές SEG εάν εκτελούν μια ευάλωτη έκδοση Cisco AsyncOS και αν πληρούνται οι ακόλουθες προϋποθέσεις:

  • Η δυνατότητα ανάλυσης αρχείων (μέρος του Cisco Advanced Malware Protection) ή η δυνατότητα φιλτραρίσματος περιεχομένου είναι ενεργοποιημένη και εκχωρείται σε incoming mail policy.
  • Η έκδοση του Content Scanner Tools είναι παλαιότερη από την 23.3.0.4823

Η Cisco διόρθωσε την ευπάθεια αυτή στο Content Scanner Tools 23.3.0.4823 και νεότερες εκδόσεις. Η ενημερωμένη έκδοση περιλαμβάνεται από προεπιλογή στο Cisco AsyncOS για τις εκδόσεις Cisco Secure Email Software 15.5.1-055 και νεότερες εκδόσεις.

Πώς να βρείτε ευάλωτες συσκευές

Για να προσδιορίσετε εάν η ανάλυση αρχείων είναι ενεργοποιημένη, συνδεθείτε στη διεπαφή διαχείρισης ιστού του προϊόντος και μεταβείτε στα Mail Policies > Incoming Mail Policies > Advanced Malware Protection > Mail Policy.

Εκεί ελέγξτε εάν είναι επιλεγμένο το “Enable File Analysis“.

Δείτε επίσης: Η Cisco διόρθωσε zero-day ευπάθεια στο NX-OS

Για να διαπιστώσετε εάν είναι ενεργοποιημένα τα φίλτρα περιεχομένου, ανοίξτε τη διεπαφή ιστού του προϊόντος, μεταβείτε στα “Choose Mail Policies > Incoming Mail Policies > Content Filters” και ελέγξτε εάν η στήλη “Content Filters” είναι ενεργοποιημένη.

Οι ευάλωτες συσκευές Cisco SEG αποσυνδέονται μετά από επιτυχείς εκμεταλλεύσεις της ευπάθειας CVE-2024-20401, αλλά η εταιρεία συμβουλεύει τους πελάτες να επικοινωνήσουν με το Κέντρο Τεχνικής Βοήθειας (TAC) για να τις επαναφέρουν στο διαδίκτυο.

Η Cisco συμβούλεψε όλους τους διαχειριστές να ενημερώσουν τις ευάλωτες συσκευές για να τις προστατεύσουν.

Δείτε επίσης: Cisco: Διόρθωσε ευπάθειες Webex που χρησιμοποιήθηκαν για παρακολούθηση της γερμανικής κυβέρνησης

Η ανακάλυψη και η άμεση επιδιόρθωση ευπαθειών, όπως η CVE-2021-1609, υπογραμμίζει τη σημασία της τακτικής ενημέρωσης λογισμικού και συσκευών για προστασία από πιθανές επιθέσεις στον κυβερνοχώρο. Οι οργανισμοί θα πρέπει επίσης να διαθέτουν ένα ισχυρό πρωτόκολλο ασφαλείας για να ανταποκρίνονται γρήγορα και να μετριάζουν τυχόν εντοπισμένα τρωτά σημεία. Παραμένοντας σε επαγρύπνηση και εφαρμόζοντας τα απαραίτητα μέτρα προστασίας, οι οργανισμοί μπορούν να εξασφαλίσουν την ασφάλεια των συστημάτων και των δεδομένων τους.

Πηγή: www.bleepingcomputer.com