Angreifer können Cisco SEG übernehmen CVSS 9.8 Sicherheitslücke in Cisco Secure Email Gateway

Anbieter zum Thema

SEPPmail - Deutschland GmbH

Geht auf dem Cisco Secure Email Gateway (SEG) eine E-Mail mit bestimmten Schadcode ein, kann das ganze System kompromittiert werden. Das komplette Betriebssystem des SEG kann dabei beeinträchtigt werden.

Derzeit gibt es eine Schwachstelle in Cisco Secure Email Gateway, über die Angreifer Root-Rechte auf dem SEG erhalten können. So können Hacker neue Root-Benutzer anlegen und damit komplette Netzwerke kompromittieren. Die Lücke wird mit einem Update geschlossen, das Admins schnellstmöglich installieren sollten.

Das steckt hinter CVE-2024-20401

Die sicherheitskritische Schwachstelle ermöglicht es einem nicht authentifizierten, entfernten Angreifer, beliebige Dateien auf dem zugrundeliegenden Betriebssystem zu überschreiben. Die Schwachstelle 2024-20401 hat eine CVSS-Bewertung von 9.8.

Das Problem tritt aufgrund fehlerhafter Verarbeitung von E-Mail-Anhängen auf, wenn die Datei-Analyse- und Inhaltsfilterfunktionen aktiviert sind. Ein Angreifer kann diese Schwachstelle ausnutzen, indem er eine E-Mail mit einem speziell gestalteten Anhang an ein betroffenes Gerät sendet. Gelingt der Angriff, kann der Angreifer beliebige Dateien auf dem Dateisystem ersetzen, wodurch er in der Lage ist, Benutzer mit Root-Rechten hinzuzufügen, die Konfiguration des Geräts zu ändern, beliebigen Code auszuführen oder einen dauerhaften Denial-of-Service (DoS) Zustand herbeizuführen.

Betroffen sind Cisco Secure Email Gateway Geräte, die eine verwundbare Version von Cisco AsyncOS ausführen und entweder die Datei-Analyse-Funktion oder die Inhaltsfilter-Funktion aktiviert haben. Geräte, die Content Scanner Tools Versionen vor 23.3.0.4823 verwenden, sind ebenfalls betroffen. Um festzustellen, ob die Datei-Analyse aktiviert ist, verbindet man sich mit der Webmanagement-Oberfläche des Produkts, wählt „Mail Policies > Incoming Mail Policies > Advanced Malware Protection“ und überprüft, ob die Option „Enable File Analysis“ aktiviert ist. Für die Inhaltsfilter prüft man unter „Mail Policies > Incoming Mail Policies > Content Filters“, ob diese Funktion nicht deaktiviert ist. Die aktuelle Version der Content Scanner Tools kann durch den Befehl contentscannerstatus in der CLI überprüft werden. Cisco hat bestätigt, dass Secure Email and Web Manager sowie Secure Web Appliance nicht von dieser Schwachstelle betroffen sind.

Die Behebung dieser Schwachstelle erfolgt durch ein Update des Content Scanner Tools auf Version 23.3.0.4823 oder höher. Diese Versionen sind in Cisco AsyncOS für Cisco Secure Email Software ab Version 15.5.1-055 enthalten. Das Update der Content Scanner Tools erfordert keine Softwareaktualisierung oder einen Neustart des Geräts. Um die Content Scanner Tools manuell zu aktualisieren, verwendet man den CLI-Befehl contentscannerupdate. Für automatische Updates navigiert man in der Webmanagement-Oberfläche zu „Security Services > Service Updates“, bearbeitet die Update-Einstellungen, aktiviert die Option für automatische Updates und bestätigt die Änderungen. Kunden, die Cisco Secure Email Cloud Gateway nutzen, müssen keine Maßnahmen ergreifen, da Cisco die Infrastruktur bereits geschützt hat und die aktualisierte Version der Content Scanner Tools im Rahmen der Standard-Upgrade-Prozesse bereitgestellt wird.

(ID:50105668)