Un difetto scoperto di recente in Cisco Email Security Appliance (ESA) e Cisco Secure Email and Web Manager consente agli hacker di aggirare le protezioni di sicurezza e connettersi agli endpoint con impostazioni non predefinite, ha confermato la società.

Un avviso pubblicato da Cisco ha rivelato che la società si è imbattuta nel difetto durante la gestione di un caso di supporto tramite Cisco TAC. Sebbene affermi che non ci sono prove che il difetto venga sfruttato in natura, ora è tracciato come CVE-2022-20798.

La buona notizia è che una patch è già disponibile e gli utenti sono incoraggiati ad applicarla immediatamente.

Accesso non autorizzato

Riguarda i controlli di autenticazione sugli endpoint che utilizzano il protocollo LDAP (Lightweight Directory Access Protocol) per l'autenticazione esterna, ha affermato la società. Questo sembra interessare solo i dispositivi configurati per utilizzare l'autenticazione esterna e LDAP. Tuttavia, questi elementi sono disabilitati per impostazione predefinita.

"Un utente malintenzionato potrebbe sfruttare questa vulnerabilità inserendo una voce specifica nella pagina di accesso del dispositivo interessato", ha affermato Cisco. "Un exploit riuscito potrebbe consentire all'attaccante di ottenere un accesso non autorizzato (si apre in una nuova scheda) all'interfaccia di gestione web del dispositivo interessato."

Gli utenti possono verificare se l'autenticazione esterna è abilitata sul proprio dispositivo accedendo all'interfaccia di amministrazione Web, passando a Amministrazione sistema > Utenti e cercando "Abilita autenticazione esterna".

Sebbene l'installazione della patch sia il modo migliore per mitigare la minaccia, esistono altre soluzioni, inclusa la disabilitazione dell'associazione anonima sul server di autenticazione esterno.

Questa non è la prima volta che Cisco ha dovuto riparare Secure Email Gateway. All'inizio di quest'anno, ha corretto un difetto che consentiva agli aggressori remoti di violare i dispositivi senza patch tramite e-mail dannose(Si apre in una nuova scheda).

Cisco ha anche affermato che non risolverà uno zero-day trovato nei router SMB RV110W, RV130, RV130W e RV215W perché questi dispositivi hanno raggiunto la fine della loro vita utile, ha rilevato BleepingComputer. Le organizzazioni che utilizzano questi endpoint (si apre in una nuova scheda) potrebbero essere a rischio, poiché il giorno zero consente agli aggressori di eseguire codice arbitrario con privilegi a livello di root.

Via: BleepingComputer (si apre in una nuova scheda)

Condividi questo