Cisco telah memperbaiki kerentanan tingkat keparahan kritis yang memungkinkan penyerang menambahkan pengguna baru dengan hak istimewa root dan secara permanen merusak peralatan Security Email Gateway (SEG) yang menggunakan email dengan lampiran berbahaya.
Dilacak sebagai CVE-2024-20401, kelemahan keamanan penulisan berkas sembarangan dalam fitur pemindaian konten dan penyaringan pesan SEG ini disebabkan oleh kelemahan lintasan jalur absolut yang memungkinkan penggantian berkas apa pun pada sistem operasi yang mendasarinya.
“Kerentanan ini disebabkan oleh penanganan lampiran email yang tidak tepat saat analisis file dan filter konten diaktifkan. Eksploitasi yang berhasil dapat memungkinkan penyerang mengganti file apa pun pada sistem file yang mendasarinya,” Cisco menjelaskan.
“Penyerang kemudian dapat melakukan tindakan berikut: menambahkan pengguna dengan hak akses root, mengubah konfigurasi perangkat, menjalankan kode sembarangan, atau menyebabkan kondisi penolakan layanan (DoS) permanen pada perangkat yang terpengaruh.”
CVE-2024-20401 memengaruhi peralatan SEG jika peralatan tersebut menjalankan rilis Cisco AsyncOS yang rentan dan kondisi berikut terpenuhi:
- Fitur analisis berkas (bagian dari Cisco Advanced Malware Protection) atau fitur filter konten diaktifkan dan ditetapkan ke kebijakan email masuk.
- Versi Content Scanner Tools lebih awal dari 23.3.0.4823
Perbaikan untuk kerentanan ini diberikan ke perangkat yang terpengaruh dengan paket Content Scanner Tools versi 23.3.0.4823 dan yang lebih baru. Versi yang diperbarui disertakan secara default dalam Cisco AsyncOS untuk Cisco Secure Email Software versi 15.5.1-055 dan yang lebih baru.
Cara menemukan peralatan yang rentan
Untuk memastikan apakah analisis berkas diaktifkan, sambungkan ke antarmuka manajemen web produk, buka “Kebijakan Email > Kebijakan Email Masuk > Perlindungan Malware Lanjutan > Kebijakan Email,” lalu periksa apakah “Aktifkan Analisis Berkas” dicentang.
Untuk mengetahui apakah filter konten diaktifkan, buka antarmuka web produk dan periksa apakah kolom “Filter Konten” di bawah “Pilih Kebijakan Email > Kebijakan Email Masuk > Filter Konten” berisi sesuatu selain Dinonaktifkan.
Sementara peralatan SEG yang rentan dimatikan secara permanen setelah serangan CVE-2024-20401 yang berhasil, Cisco menyarankan pelanggan untuk menghubungi Pusat Bantuan Teknis (TAC) untuk menghidupkannya kembali, yang memerlukan intervensi manual.
Cisco menambahkan bahwa tidak ada solusi yang tersedia untuk peralatan yang terkena dampak kelemahan keamanan ini, dan menyarankan semua admin untuk memperbarui peralatan yang rentan guna mengamankannya dari serangan.
Tim Respons Insiden Keamanan Produk (PSIRT) perusahaan belum menemukan bukti eksploitasi konsep publik atau upaya eksploitasi yang menargetkan kerentanan CVE-2024-20401.
Pada hari Rabu, Cisco juga memperbaiki bug tingkat keparahan maksimum yang memungkinkan penyerang mengubah kata sandi pengguna apa pun pada server lisensi Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) yang belum ditambal, termasuk administrator.
