Cisco, saldırganların kök ayrıcalıklarına sahip yeni kullanıcılar eklemesine ve kötü amaçlı ekler içeren e-postaları kullanarak Güvenlik E-posta Ağ Geçidi (SEG) cihazlarını kalıcı olarak çökertmesine olanak tanıyan kritik öneme sahip bir güvenlik açığını düzeltti.
CVE-2024-20401 olarak izlenen, SEG içerik tarama ve mesaj filtreleme özelliklerindeki bu keyfi dosya yazma güvenlik açığı, temeldeki işletim sistemindeki herhangi bir dosyanın değiştirilmesine izin veren mutlak bir yol geçiş zayıflığından kaynaklanmaktadır.
Cisco, “Bu güvenlik açığı, dosya analizi ve içerik filtreleri etkinleştirildiğinde e-posta eklerinin uygunsuz şekilde işlenmesinden kaynaklanmaktadır. Başarılı bir istismar, saldırganın temel dosya sistemindeki herhangi bir dosyayı değiştirmesine olanak tanıyabilir” açıklamasında bulundu.
“Saldırgan daha sonra aşağıdaki eylemlerden herhangi birini gerçekleştirebilir: kök ayrıcalıklarına sahip kullanıcılar ekleyebilir, cihaz yapılandırmasını değiştirebilir, keyfi kod çalıştırabilir veya etkilenen cihazda kalıcı bir hizmet reddi (DoS) durumu oluşturabilir.”
CVE-2024-20401, güvenlik açığı bulunan bir Cisco AsyncOS sürümü çalıştıran ve aşağıdaki koşulların karşılandığı SEG cihazlarını etkiler:
- Dosya analizi özelliği (Cisco Gelişmiş Kötü Amaçlı Yazılım Koruması’nın bir parçası) veya içerik filtreleme özelliği etkinleştirildi ve gelen e-posta politikasına atandı.
- İçerik Tarayıcı Araçları sürümü 23.3.0.4823’ten daha eskidir
Bu güvenlik açığına yönelik düzeltme, Content Scanner Tools paketi sürümleri 23.3.0.4823 ve üzeri olan etkilenen cihazlara iletilir. Güncellenen sürüm, Cisco Secure Email Software sürümleri 15.5.1-055 ve üzeri için Cisco AsyncOS’a varsayılan olarak dahil edilmiştir.
Savunmasız cihazlar nasıl bulunur?
Dosya analizinin etkin olup olmadığını belirlemek için ürün web yönetim arayüzüne bağlanın, “Posta Politikaları > Gelen Posta Politikaları > Gelişmiş Kötü Amaçlı Yazılım Koruması > Posta Politikası” bölümüne gidin ve “Dosya Analizini Etkinleştir” seçeneğinin işaretli olup olmadığını kontrol edin.
İçerik filtrelerinin etkin olup olmadığını bulmak için ürün web arayüzünü açın ve “Posta Politikalarını Seçin > Gelen Posta Politikaları > İçerik Filtreleri” altındaki “İçerik Filtreleri” sütununun Devre Dışı dışında bir değer içerip içermediğini kontrol edin.
Başarılı CVE-2024-20401 saldırılarının ardından savunmasız SEG cihazları kalıcı olarak çevrimdışı bırakılırken, Cisco müşterilerine cihazları tekrar çevrimiçi hale getirmek için Teknik Destek Merkezi’ne (TAC) başvurmalarını öneriyor; bunun için manuel müdahale gerekiyor.
Cisco, bu güvenlik açığından etkilenen cihazlar için herhangi bir geçici çözümün bulunmadığını belirterek, tüm yöneticilere, güvenlik açığı bulunan cihazları saldırılara karşı güvence altına almak için güncellemeleri tavsiyesinde bulundu.
Şirketin Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), CVE-2024-20401 güvenlik açığını hedef alan kamuya açık kavram kanıtı istismarlarına veya istismar girişimlerine dair bir kanıt bulamadı.
Cisco Çarşamba günü ayrıca, saldırganların yöneticiler de dahil olmak üzere, yama uygulanmamış Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) lisans sunucularındaki tüm kullanıcı parolalarını değiştirmesine olanak tanıyan maksimum önem düzeyindeki bir hatayı düzeltti.
