باگ بحرانی در گیت‌وی ایمیل امن سیسکو (CVE-2024-20401)

یک آسیب ‌پذیری بحرانی (امتیاز CVSS 9.8) در ویژگی‌های اسکن محتوا و فیلترینگ پیام‌های گیت‌وی ایمیل امن سیسکو ([1]SEG) می‌تواند به یک مهاجم غیرقانونی و از راه دور اجازه دهد تا فایل‌های دلخواه را بر روی سیستم عامل اصلی بازنویسی کند.

این آسیب ‌پذیری (CVE-2024-20401) ناشی از مدیریت نادرست پیوست‌های ایمیل هنگام فعال بودن تجزیه و تحلیل فایل و فیلترهای محتوا می‌باشد.

یک مهاجم سایبری می‌تواند با ارسال ایمیلی که حاوی یک پیوست دستکاری شده از طریق دستگاه آسیب پذیر است، از این نقص امنیتی سوء استفاده کند.

یک اکسپلویت موفق می‌تواند به مهاجم اجازه دهد تا هر فایلی را در سیستم فایل زیربنایی جایگزین کند. مهاجم سپس خواهد توانست یکی از اقدامات زیر را به انجام رساند:

• افزودن کاربر با سطح دسترسی root
• تغییر در پیکربندی دستگاه
• اجرای کد دلخواه
• پیاده سازی شرایط حمله انکار سرویس (DoS) در دستگاه آسیب پذیر

چنانچه دستگاه‌های گیت‌وی ایمیل امن سیسکو نسخه آسیب پذیر  AsyncOSرا اجرا کنند و شرایط زیر رعایت شود، آنگاه آسیب پذیری CVE-2024-20401 بر دستگاه تاثیر خواهد گذاشت:

• ویژگی تجزیه و تحلیل فایل (بخشی از محافظت از بدافزار پیشرفته سیسکو) یا ویژگی فیلتر محتوا فعال باشد و به یک خط مشی ایمیل ورودی اختصاص داده شود.
• نسخه‌ پایین‌تر از ۲۳.۳.۰.۴۸۲۳ از Content Scanner Tools در حال اجرا باشد.

رفع آسیب پذیری گیت‌وی ایمیل امن سیسکو توسط نسخه ۲۳.۳.۰.۴۸۲۳ و جدیدتر بسته Content Scanner Tools فراهم شده است.

چگونه دستگاه‌های آسیب پذیر را شناسایی کنیم؟

برای تعیین اینکه آیا تجزیه و تحلیل فایل فعال است یا نه، به رابط مدیریت وب محصول متصل شوید و به “Mail Policies > Incoming Mail Policies > Advanced Malware Protection > Mail Policy” بروید و بررسی کنید که آیا “Enable File Analysis” علامت زده شده است یا خیر.

همچنین برای اینکه بفهمید فیلترهای محتوا یا Content Filters فعال هستند یا خیر، رابط وب محصول را باز کنید و ستون “Choose Mail Policies > Incoming Mail Policies > Content Filters” را بررسی نمایید.

در حالی که دستگاه‌های آسیب پذیر گیت‌وی ایمیل امن سیسکو در پی حملات موفق آفلاین می‌شوند، سیسکو به مشتریان توصیه کرده است که با مرکز کمک فنی آن ([2]TAC) تماس بگیرند تا مجددا آنلاین شوند، چرا که رفع این مشکل نیاز به مداخله دستی دارد.

هیچ راه‌حلی برای دستگاه‌هایی که تحت تأثیر این نقص امنیتی (CVE-2024-20401) قرار دارند در دسترس نیست و به همه مدیران توصیه می‌شود که دستگاه‌های آسیب ‌پذیر خود را فورا به‌روزرسانی کنند تا در برابر حملات ایمن بمانند.

تیم پاسخگویی به رویداد امنیت محصول این شرکت ([3]PSIRT) تاکنون شواهدی مبنی بر اثبات سوءاستفاده‌ یا تلاش برای بهره‌برداری از این آسیب‌پذیری پیدا نکرده است.

سیسکو، هفدهم جولای نیز یک باگ بحرانی را برطرف کرد که به مهاجمان اجازه می‌دهد رمز عبور هر کاربری را در سرورهای لایسنس SSM On-Prem سیسکو، تغییر دهند. این آسیب پذیری (CVE-2024-20419)، به دلیل ضعف تایید نشده تغییر رمز عبور در سیستم احراز هویت SSM On-Prem ایجاد می‌شود.

باگ SSM On-Prem سیسکو بر روی نسخه‌های 8-202206 و قدیمی‌تر [4]SSM On-Prem تأثیر می‌گذارد و در نسخه 8-202212 پچ شده است.

[1] Secure Email Gateway

[2] Technical Assistance Center

[3] Product Security Incident Response Team

[4] Smart Software Manager On-Prem

منابع