For English, see below.
BeschrijvingOp 17 juli 2024 heeft Cisco bekend gemaakt dat er een kritieke kwetsbaarheid in Cisco Secure Email Gateway is ontdekt. De kwetsbaarheid, bekend als CVE-2024-20401, stelt een niet-geauthenticeerde aanvaller in staat om vanaf het internet willekeurige bestanden op het onderliggende besturingssysteem te overschrijven. Dit is mogelijk door de onjuiste verwerking van e-mailbijlagen wanneer file analysis of content filter zijn ingeschakeld. De aanvaller heeft vervolgens volledige controle over het systeem en kan daarmee bijvoorbeeld gebruikers met rootrechten toevoegen, de configuratie wijzigen en willekeurige code uitvoeren. Op dit moment is er nog geen proof-of-concept code of exploit beschikbaar en lijkt de kwetsbaarheid niet actief misbruikt te worden. Daar kan op korte termijn echter verandering in komen. Kwetsbare versiesEen Cisco Secure Email Gateway systeem is kwetsbaar als aan de volgende twee voorwaarden is voldaan:
Om vast te stellen of uw versie van Content Scanner Tools kwetsbaar is, kan het contentscannerstatus commando in de CLI van het Cisco-systeem worden gebruikt. Zie hieronder een voorbeeld van een kwetsbare versie van Content Scanner Tools: cisco-esa> contentscannerstatus Component Version Last Updated Content Scanner Tools 23.1.0.4619.13.0.1500022 Never updated U kunt controleren of File Analysis ingeschakeld is door naar Mail Policies > Incoming Mail Policies > Advanced Malware Protection te gaan in de management interface. Bekijk voor elke mail policy of Enable File Analysis aangevinkt is. Als dit het geval is, staat de feature ingeschakeld. U kunt controleren of Content Filter ingeschakeld is door naar Mail Policies > Incoming Mail Policies > Content Filters te gaan in de management interface. Als de Content Filters kolom iets anders dan ‘disabled’ bevat, staat de feature ingeschakeld. Oplossingen en tijdelijke mitigatiesEr is geen tijdelijke oplossing die deze kwetsbaarheid adresseert. Om de kwetsbaarheid te verhelpen kan het gehele systeem naar Cisco AsyncOS versie 15.5.1-055 of later geüpdatet worden. Daarnaast is het ook mogelijk om Content Scanner Tools los te updaten, zodat niet het gehele systeem geüpgraded en gereboot hoeft te worden. Dit kan handmatig via de CLI van het systeem met het contentscannerupdate commando: cisco-esa> contentscannerupdate Requesting check for new Content Scanner updates. Als Content Scanner Tools niet automatisch al geüpdatet was, adviseren we daarnaast te overwegen om van de Automatic Update feature gebruik te maken. Dit kan onder Security Services > Service Updates > Edit Update Settings door het vinkje bij Automatic Updates aan te zetten. Meer informatie
VragenVoor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Security Operations Center. Het SOC is bereikbaar via +31 (0)15 750 13 31 en via soc@pinewood.nl. ===== ENGLISH ===== DescriptionOn July 17, 2024 Cisco announced the discovery of a critical vulnerability in Cisco Secure Email Gateway. The vulnerability, known as CVE-2024-20401, allows an unauthenticated remote attacker to overwrite arbitrary files on the underlying operating system. This is possible due to the improper processing of e-mail attachments when File Analysis or Content Filter are enabled. The attacker then has full control over the system and can, for example, add users with root privileges, change the configuration and execute arbitrary code. Currently, there is no proof-of-concept code or exploit available and the vulnerability does not appear to be actively exploited. Vulnerable versionsA Cisco Secure Email Gateway system is vulnerable if the following two conditions are met:
To determine if your version of Content Scanner Tools is vulnerable, the contentscannerstatus command in the Cisco system CLI can be used. See below for an example of a vulnerable version of Content Scanner Tools: cisco-esa> contentscannerstatus Component Version Last Updated Content Scanner Tools 23.1.0.4619.13.0.1500022 Never updated You can verify that File Analysis is enabled by going to Mail Policies > Incoming Mail Policies > Advanced Malware Protection in the management interface. For each mail policy, see if Enable File Analysis is checked. If it is, the feature is enabled. You can verify that Content Filter is enabled by going to Mail Policies > Incoming Mail Policies > Content Filters in the management interface. If the Content Filters column contains anything other than disabled, the feature is enabled. Solutions and workaroundsThere is no temporary fix that addresses this vulnerability. To fix the vulnerability, the entire system can be updated to Cisco AsyncOS version 15.5.1-055 and later. In addition, it is also possible to update Content Scanner Tools separately so that the entire system does not have to be upgraded and rebooted. This can be done manually through the system’s CLI with the contentscannerupdate command: cisco-esa> contentscannerupdate Requesting check for new Content Scanner updates. Additionally, if Content Scanner Tools was not already automatically updated, we recommend considering using the Automatic Update feature. This can be done under Security Services > Service Updates > Edit Update Settings by checking Automatic Updates. More information
QuestionsFor questions about this security bulletin, please contact the Pinewood Security Operations Center. The SOC can be contacted at +31 (0)15 750 13 31 and via soc@pinewood.nl. |