Cisco a corrigé une vulnérabilité de gravité critique qui permet aux attaquants d’ajouter de nouveaux utilisateurs avec des privilèges root et de bloquer définitivement les appliances Security Email Gateway (SEG) à l’aide d’e-mails avec des pièces jointes malveillantes.
Répertorié sous le numéro CVE-2024-20401, ce défaut de sécurité d’écriture de fichier arbitraire dans les fonctionnalités d’analyse de contenu SEG et de filtrage des messages est causé par une faiblesse absolue de traversée de chemin qui permet de remplacer n’importe quel fichier sur le système d’exploitation sous-jacent.
« Cette vulnérabilité est due à une mauvaise gestion des pièces jointes aux e-mails lorsque l’analyse des fichiers et les filtres de contenu sont activés. Un exploit réussi pourrait permettre à l’attaquant de remplacer n’importe quel fichier sur le système de fichiers sous-jacent », a expliqué Cisco.
« L’attaquant pourrait alors effectuer l’une des actions suivantes: ajouter des utilisateurs avec des privilèges root, modifier la configuration de l’appareil, exécuter du code arbitraire ou provoquer une condition de déni de service permanent (DoS) sur l’appareil affecté. »
CVE-2024 – 20401 affecte les appliances SEG si elles exécutent une version Cisco AsyncOS vulnérable et que les conditions suivantes sont remplies:
- La caractéristique d’analyse de fichiers (une partie de Cisco Advanced Malware Protection) ou la caractéristique de filtrage de contenu est activée et assignée à une stratégie de messagerie entrante.
- La version des outils d’analyse de contenu est antérieure à 23.3.0.4823
Le correctif de cette vulnérabilité est fourni aux appareils concernés avec les versions 23.3.0.4823 et ultérieures du package d’outils d’analyse de contenu. La version mise à jour est incluse par défaut dans Cisco AsyncOS pour les versions logicielles de messagerie sécurisée Cisco 15.5.1-055 et ultérieures.
Comment trouver les appareils vulnérables
Pour déterminer si l’analyse des fichiers est activée, connectez-vous à l’interface de gestion Web du produit, accédez à « Stratégies de messagerie > Stratégies de messagerie entrante > Protection avancée contre les logiciels malveillants > Stratégie de messagerie » et vérifiez si « Activer l’analyse des fichiers » est coché.
Pour savoir si les filtres de contenu sont activés, ouvrez l’interface Web du produit et vérifiez si la colonne » Filtres de contenu « sous » Choisir les stratégies de messagerie > Stratégies de messagerie entrante > Filtres de contenu » contient autre chose que Désactivé.
Alors que les appliances SEG vulnérables sont définitivement mises hors ligne à la suite d’attaques réussies CVE-2024-20401, Cisco conseille aux clients de contacter son Centre d’assistance technique (TAC) pour les remettre en ligne, ce qui nécessitera une intervention manuelle.
Cisco a ajouté qu’aucune solution de contournement n’est disponible pour les appliances affectées par cette faille de sécurité, et il a conseillé à tous les administrateurs de mettre à jour les appliances vulnérables pour les sécuriser contre les attaques.
L’Équipe de réponse aux incidents de sécurité des produits (PSIRT) de la société n’a trouvé aucune preuve d’exploits publics de validation de principe ou de tentatives d’exploitation ciblant la vulnérabilité CVE-2024-20401.
Mercredi, Cisco a également corrigé un bogue de gravité maximale qui permet aux attaquants de modifier n’importe quel mot de passe utilisateur sur les serveurs de licences Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) non corrigés, y compris les administrateurs.