Cisco hat eine schwere Sicherheitslücke in seiner Lösung Secure Email Gateway entdeckt. Diese erlaubt es dem Angreifer durch das Senden einer manipulierten Anlage beliebige Dateien im Betriebssystem zu überschreiben und einen beliebigen Code auszuführen.
Vom Hersteller wurde die Schwachstelle mit der CVE-2024-20401 und dem Schweregrad von 9,8 veröffentlicht und kann unter der folgenden URL eingesehen werden:
Wer ist betroffen?
Betroffen sind Cisco Secure Email Gateways, wenn folgende Bedingungen erfüllt sind:
- Aktivierte Contentfilter oder Fileanalyse innerhalb von Advanced Malware Protection (AMP) in Incoming Mail Policies
- Content Scanner Tools Version, die älter ist als 23.3.0.4823
Was ist zu tun?
Die automatische Aktualisierung der Content Scanner Version ist in Cisco Secure Email Gateways standardmäßig aktiviert. Wir empfehlen, die Version auf der CLI zu prüfen und bei Bedarf zu aktualisieren, sollte die automatische Aktualisierung abgeschaltet bzw. zu alte AsyncOS Version im Einsatz sein. Das folgende Beispiel zeigt eine verwundbare Version von Content Scanner Tools:
cisco-esa> contentscannerstatus
| Component | Version | Last Updated |
| Content Scanner Tools | 23.1.0.4619.13.0.1500022 | Never updated |
Alternativ kann eine Aktualisierung auf die AsyncOS Version 15.5.1-055 und höher durchgeführt werden, weil diese bereits die aktualisierte Version der Content Scanner Tools enthält.
Dem Cisco Product Security Incident Response Team (PSIRT) sind derzeit keine Fälle über die Ausnutzung der beschriebenen Schwachstelle bekannt.
Quelle: Cisco, “Cisco Secure Email Gateway Arbitrary File Write Vulnerability”