Cisco社は電子メールメッセージを使って攻撃者がCisco Secure Emailアプライアンスをクラッシュさせる可能性のある、深刻度の高い脆弱性に対応したと発表しました。
Cisco AsyncOS Software for Cisco Email Security Appliance(ESA)のDNS-based Authentication of Named Entities(DANE)電子メール検証コンポーネントに脆弱性があり、認証されていないリモートの攻撃者が、影響を受けるデバイスでサービス拒否(DoS)状態を引き起こす可能性があります。
このセキュリティ上の脆弱性(CVE-2022-20653として追跡)は、Cisco Secure Emailが電子メールのスパム、フィッシング、マルウェアなどの脅威をチェックするために使用するCisco AsyncOS SoftwareコンポーネントであるDNS-based Authentication of Named Entities(DANE)に存在しています。
この脆弱性は、Rijksoverheid Dienst ICT Uitvoering (DICTU) のセキュリティ研究者によって発見され、シスコに報告されたDNSの名前解決における不十分なエラー処理の問題によるものです。
攻撃者は、特別にフォーマットされた電子メールメッセージを送信し、影響を受けるデバイスで処理することで、この脆弱性を悪用することができる
攻撃者は、この脆弱性を利用して、影響を受けたデバイスが処理する特別な形式の電子メールメッセージを送信することができます。
攻撃者は、この脆弱性を利用して、デバイスが回復するまでの間、デバイスを管理インターフェイスから到達できなくしたり、追加の電子メールメッセージを処理したりして、DoS(サービス拒否)状態に陥らせることができます。
さらに悪いことに、攻撃を継続すると対象となるデバイスが完全に利用できなくなり、結果的に持続的なDoS状態となってしまいます。
なお、同社のPSIRT(Product Security Incident Response Team)によると、このセキュリティアドバイザリが公開される前に、悪意のある不正利用が行われた形跡はなかったとのことです。
脆弱性のあるコンポーネントはデフォルトでは有効になっていない
この脆弱性は、認証されていない攻撃者によってリモートで悪用される可能性がありますが、シスコによると脆弱性のあるDANE電子メール検証コンポーネントはデフォルトでは有効になっていません。
管理者は、「メールポリシー」→「宛先コントロール」→「宛先の追加」のWeb UIページで、「DANEサポート」オプションがオンになっているかどうかを確認することで、DANEが設定されているかどうかを確認することができます。
また、CiscoはCVE-2022-20653がWeb Security Appliance(WSA)およびSecure Email and Web Manager、またはDANE機能を有効にしていないデバイスに影響を与えないとのことです。
また、攻撃を阻止するために、メールサーバーからではなく、Cisco ESAからのバウンスメッセージを設定することを要求する回避策を提供しています。
認証なしでSmall Business RVシリーズのルーターを制御することが可能な、概念実証済みの悪用コードが利用可能な最大深刻度の脆弱性にパッチを適用しました。
Comments