Cisco a corrigé une vulnérabilité de gravité critique qui permet aux attaquants d'ajouter de nouveaux utilisateurs avec des privilèges root et de faire planter définitivement les appareils Security Email Gateway (SEG) à l'aide d'e-mails contenant des pièces jointes malveillantes.

Suivie comme CVE-2024-20401, cette faille de sécurité d'écriture de fichier arbitraire dans les fonctionnalités d'analyse de contenu et de filtrage des messages SEG est causée par une faiblesse de traversée de chemin absolu qui permet de remplacer n'importe quel fichier sur le système d'exploitation sous-jacent.

« Cette vulnérabilité est due à une mauvaise gestion des pièces jointes aux e-mails lorsque l'analyse des fichiers et les filtres de contenu sont activés. Une exploitation réussie pourrait permettre à l'attaquant de remplacer n'importe quel fichier sur le système de fichiers sous-jacent », Cisco a expliqué.

« L'attaquant pourrait alors effectuer l'une des actions suivantes : ajouter des utilisateurs avec des privilèges root, modifier la configuration de l'appareil, exécuter du code arbitraire ou provoquer un déni de service (DoS) permanent sur l'appareil affecté. »

CVE-2024-20401 affecte les appareils SEG s'ils exécutent une version vulnérable de Cisco AsyncOS et si les conditions suivantes sont remplies :

• La fonctionnalité d'analyse de fichiers (faisant partie de Cisco Advanced Malware Protection) ou la fonctionnalité de filtrage de contenu est activée et attribuée à une stratégie de courrier entrant.
• La version de Content Scanner Tools est antérieure à 23.3.0.4823

Le correctif pour cette vulnérabilité est fourni aux appareils concernés avec les versions 23.3.0.4823 et ultérieures du package Content Scanner Tools. La version mise à jour est incluse par défaut dans les versions 15.5.1-055 et ultérieures de Cisco AsyncOS pour Cisco Secure Email Software.

Comment trouver les appareils vulnérables

Pour déterminer si l'analyse des fichiers est activée, connectez-vous à l'interface de gestion Web du produit, accédez à « Stratégies de messagerie > Stratégies de courrier entrant > Protection avancée contre les logiciels malveillants > Stratégie de messagerie » et vérifiez si « Activer l'analyse des fichiers » est coché.

Pour savoir si les filtres de contenu sont activés, ouvrez l'interface Web du produit et vérifiez si la colonne « Filtres de contenu » sous « Choisir les politiques de messagerie > Politiques de messagerie entrante > Filtres de contenu » contient autre chose que Désactivé.

Alors que les appareils SEG vulnérables sont définitivement mis hors ligne après des attaques CVE-2024-20401 réussies, Cisco conseille à ses clients de contacter son centre d'assistance technique (TAC) pour les remettre en ligne, ce qui nécessitera une intervention manuelle.

Cisco a ajouté qu'aucune solution de contournement n'est disponible pour les appareils affectés par cette faille de sécurité et a conseillé à tous les administrateurs de mettre à jour les appareils vulnérables pour les protéger contre les attaques.

L'équipe de réponse aux incidents de sécurité des produits (PSIRT) de la société n'a trouvé aucune preuve d'exploitation publique de preuve de concept ou de tentative d'exploitation ciblant la vulnérabilité CVE-2024-20401.

Mercredi, Cisco a également corrigé un bug de gravité maximale qui permet aux attaquants de modifier n'importe quel mot de passe utilisateur sur les serveurs de licences Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) non corrigés, y compris les administrateurs.