Cisco hat am Mittwoch Korrekturen für eine kritische Sicherheitslücke in der Email Security Appliance (ESA) und dem Secure Email and Web Manager veröffentlicht, die von einem nicht authentifizierten Angreifer ausgenutzt werden kann, um die Authentifizierung zu umgehen.
Die Umgehungsschwachstelle mit der CVE-Kennung CVE-2022-20798 wird im CVSS-Scoring-System mit 9,8 von maximal 10 Punkten bewertet und beruht auf einer fehlerhaften Authentifizierungsprüfung, wenn ein betroffenes Gerät Lightweight Directory Access Protocol (LDAP) für die externe Authentifizierung verwendet.
„Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine bestimmte Eingabe auf der Anmeldeseite des betroffenen Geräts eingibt“, so Cisco in einem Advisory. „Ein erfolgreicher Angriff könnte es dem Angreifer ermöglichen, unbefugten Zugriff auf die webbasierte Verwaltungsoberfläche des betroffenen Geräts zu erhalten.
Die Schwachstelle, die laut Cisco bei der Behebung eines Falles im Technical Assistance Center (TAC) identifiziert wurde, betrifft ESA und Secure Email and Web Manager, auf denen die anfälligen AsyncOS-Softwareversionen 11 und früher, 12, 12.x, 13, 13.x, 14 und 14.x laufen und wenn die folgenden zwei Bedingungen erfüllt sind
Die Geräte sind so konfiguriert, dass sie eine externe Authentifizierung verwenden, und
Die Geräte verwenden LDAP als Authentifizierungsprotokoll
Unabhängig davon hat Cisco seine Kunden über eine weitere kritische Schwachstelle informiert, die die Small Business Router RV110W, RV130, RV130W und RV215W betrifft und es einem nicht authentifizierten Angreifer ermöglichen könnte, beliebigen Code auszuführen oder ein betroffenes Gerät unerwartet neu zu starten, was zu einem Denial-of-Service (DoS)-Zustand führen könnte.
Der Fehler mit der Bezeichnung CVE-2022-20825 (CVSS-Score: 9.8) bezieht sich auf eine unzureichende Validierung von Benutzereingaben bei eingehenden HTTP-Paketen. Cisco plant jedoch weder Software-Updates noch Workarounds, um den Fehler zu beheben, da die Produkte das Ende ihrer Lebensdauer erreicht haben.