A Cisco javította azt a kritikus sérülékenységet, melyek kihasználásával a hackerek új root felhasználókat adhattak hozzá, illetve egy rövid időre le is kapcsolhattak SEG eszközöket – mindehhez rosszindulatú csatolmányokkal ellátott emaileket használtak fel. A CVE-2024-20401 egy tetszőleges fájl írási biztonsági hibáját tartalmazza az SEG-k tartalom ellenőrzésében és üzenetszűrő funkciójában, amelyet egy abszolút path traversal sérülékenység okozott, mely lehetőséget ad bármely fájl helyettesítésére az operációs rendszeren.
A sérülékenység csak abban az esetben érinti az SEG eszközöket, ha sérülékeny Cisco AsyncOS kiadást futtatnak és az alábbi feltételek is teljesülnek:
- A fájl analízis funkciója vagy a tartalom szűrő funkció engedélyezve van és hozzá van rendelve egy bejövő levelezési policyhez,
- a Content Scanner Tools verziója korábbi a 23.3.0.4823-as verziónál.
A hiba javítása a Content Scanner Tools csomag 23.3.0.4823-as és későbbi verzióikra jelent meg. A frissített verzió alapértelmezés szerint szerepel a Cisco AsyncOS for Cisco Secure Email Software 15.5.1-055 és újabb kiadásaiban.
Hogyan találjunk sérülékeny eszközöket?
Ahhoz, hogy meghatározzuk, hogy a fájl elemzés jóváhagyott-e, meg kell nyitnunk a termék web management felületét, és megnyitni a „Mail Policies > Incoming Mail Policies > Advanced Malware Protection > Mail Policy” fület, és ellenőrizni, hogy az „Enable File Analysis” be van-e pipálva.
Ha a tartalomszűrőkkel kapcsolatban lenne kérdésünk, hasonlóan szükséges eljárni. Ebben az esetben a termék webfelületén a „Choose Mail Policies > Incoming Mail Policies > Content Filters” fül alatt kell megkeresnünk, hogy a „Disabled” opció került-e beállításra, vagy bármi más. Ebben az esetben a letiltás a megfelelő választás.
Bár a sérülékeny SEG eszközöket tartósan offline állapotra kapcsolták a sikeres támadások után, a Cisco azt tanácsolja a vásárlóiknak, hogy lépjenek kapcsolatba a Technical Assistance Center-rel hogy visszaállítsák őket, mivel azok csak manuálisan visszaállíthatóak. A gyártó felhívja a figyelmet arra is, hogy nincsenek kiskapuk, amellyel kikerülhetőek lennének a támadások, ezért azt tanácsolják a rendszergazdáknak, hogy mielőbb frissítsenek a saját védelmük érdekében.