Cisco hat eine kritische Sicherheitslücke behoben, die es Angreifern ermöglicht, neue Benutzer mit Root-Rechten hinzuzufügen und Security Email Gateway (SEG)-Geräte durch E-Mails mit bösartigen Anhängen dauerhaft zum Absturz zu bringen.

Die als CVE-2024-20401 verfolgte Sicherheitslücke ermöglicht das willkürliche Schreiben von Dateien aufgrund einer absoluten Pfadtraversierungsschwäche in den Funktionen zur Inhaltsprüfung und Nachrichtenfilterung des SEG. Diese Schwachstelle erlaubt es Angreifern, jede Datei auf dem zugrunde liegenden Betriebssystem zu ersetzen.

„Diese Schwachstelle entsteht durch unsachgemäße Handhabung von E-Mail-Anhängen, wenn Dateianalyse und Inhaltsfilter aktiviert sind. Ein erfolgreicher Angriff könnte es dem Angreifer ermöglichen, jede Datei im Dateisystem zu ersetzen,“ erklärte Cisco.

„Der Angreifer könnte dann eine der folgenden Aktionen durchführen: Benutzer mit Root-Rechten hinzufügen, die Gerätekonfiguration ändern, beliebigen Code ausführen oder eine permanente Denial-of-Service (DoS)-Bedingung auf dem betroffenen Gerät verursachen.“

CVE-2024-20401 betrifft SEG-Geräte, wenn sie eine anfällige Cisco AsyncOS-Version ausführen und die folgenden Bedingungen erfüllt sind:

  • Die Dateianalyse-Funktion (Teil von Cisco Advanced Malware Protection) oder die Inhaltsfilter-Funktion ist aktiviert und einer eingehenden Mail-Policy zugewiesen.
  • Die Version der Content Scanner Tools ist älter als 23.3.0.4823.

Die Lösung für diese Schwachstelle wird mit den Content Scanner Tools-Paketversionen 23.3.0.4823 und höher bereitgestellt. Die aktualisierte Version ist standardmäßig in Cisco AsyncOS für Cisco Secure Email Software-Versionen 15.5.1-055 und höher enthalten.

So finden Sie anfällige Geräte

Um festzustellen, ob die Dateianalyse aktiviert ist, verbinden Sie sich mit der Webverwaltungsoberfläche des Produkts, gehen Sie zu „Mail Policies > Incoming Mail Policies > Advanced Malware Protection > Mail Policy“ und prüfen Sie, ob „Enable File Analysis“ aktiviert ist.

Um herauszufinden, ob Inhaltsfilter aktiviert sind, öffnen Sie die Weboberfläche des Produkts und prüfen Sie, ob die Spalte „Content Filters“ unter „Choose Mail Policies > Incoming Mail Policies > Content Filters“ etwas anderes als „Disabled“ enthält.

Während anfällige SEG-Geräte nach erfolgreichen CVE-2024-20401-Angriffen dauerhaft offline genommen werden, empfiehlt Cisco betroffenen Kunden, das Technical Assistance Center (TAC) zu kontaktieren, um sie wieder online zu bringen, was eine manuelle Intervention erfordert.

Cisco fügte hinzu, dass keine Workarounds für Geräte verfügbar sind, die von dieser Sicherheitslücke betroffen sind, und rät allen Administratoren, anfällige Geräte zu aktualisieren, um sie gegen Angriffe abzusichern.

Das Product Security Incident Response Team (PSIRT) des Unternehmens hat keine Hinweise auf öffentliche Proof-of-Concept-Exploits oder Exploit-Versuche gegen die CVE-2024-20401-Schwachstelle gefunden.

Am Mittwoch hat Cisco auch einen Fehler mit maximaler Schwere behoben, der es Angreifern ermöglicht, jedes Benutzerpasswort auf ungepatchten Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) Lizenzservern, einschließlich Administratoren, zu ändern.