Cisco

Ciscoは、攻撃者がルート権限で新規ユーザーを追加し、悪意のある添付ファイル付きの電子メールを使用してSecurity Email Gateway(SEG)アプライアンスを永久にクラッシュさせることができる重大な脆弱性を修正しました。

CVE-2024-20401として追跡されている、SEGのコンテンツスキャンおよびメッセージフィルタリング機能におけるこの任意のファイル書き込みのセキュリティ上の欠陥は、基礎となるオペレーティングシステム上の任意のファイルを置き換えることができる絶対パストラバーサルの脆弱性によって引き起こされます。

「この脆弱性は、ファイル分析とコンテンツフィルターが有効になっている場合に、電子メールの添付ファイルの不適切な処理に起因します。悪用に成功すると、攻撃者は基礎となるファイルシステム上の任意のファイルを置き換えることができます」とシスコは説明している。

「攻撃者は、root権限でユーザーを追加したり、デバイスの設定を変更したり、任意のコードを実行したり、影響を受けるデバイス上で恒久的なサービス拒否(DoS)状態を引き起こしたりすることができます。

CVE-2024-20401 は、SEG アプライアンスが脆弱な Cisco AsyncOS リリースを実行しており、以下の条件を満たす場合に影響します:

  • ファイル解析機能(Cisco Advanced Malware Protectionの一部)またはコンテンツフィルタ機能が有効で、受信メールポリシーに割り当てられている。
  • コンテンツスキャナツールのバージョンが23.3.0.4823より古い。

この脆弱性に対する修正プログラムは、Content Scanner Toolsパッケージのバージョンが23.3.0.4823以降のデバイスに提供されます。更新されたバージョンは、Cisco AsyncOS for Cisco Secure Email Softwareリリース15.5.1-055以降にデフォルトで含まれています。

脆弱性のあるアプライアンスを見つける方法

ファイル解析が有効になっているかどうかを確認するには、製品のWeb管理インターフェイスに接続し、「メール ポリシー > 受信メール ポリシー > 高度なマルウェア対策 > メール ポリシー」と進み、「ファイル解析を有効にする」にチェックが入っているかどうかを確認します。

コンテンツ フィルタが有効になっているかどうかを確認するには、製品の Web インターフェイスを開き、「メール ポリシー > 受信メール ポリシー > コンテンツ フィルタの選択」の「コンテンツ フィルタ」列に「無効」以外のものが含まれているかどうかを確認します。

脆弱性のある SEG アプライアンスは、CVE-2024-20401 攻撃に成功すると恒久的にオフラインになりますが、シスコでは、テクニカルアシスタンスセンター(TAC)に連絡してオンラインに戻すよう顧客に助言しています。

シスコは、このセキュリティ欠陥の影響を受けたアプライアンスには回避策はないとし、すべての管理者に脆弱性のあるアプライアンスをアップデートして攻撃から保護するよう助言している。

同社の製品セキュリティ・インシデント・レスポンス・チーム(PSIRT)は、CVE-2024-20401の脆弱性を標的とした概念実証や悪用の試みを発見していない。

また、シスコは水曜日に、パッチが適用されていない Cisco Smart Software Manager On-Prem(Cisco SSM On-Prem)ライセンスサーバーの管理者を含むすべてのユーザーパスワードを攻撃者が変更できる最大重大度のバグを修正した。