Cisco waarschuwt voor lek dat aanvaller laat inloggen op Secure Email Gateway

[Captain Kirk]

Cisco waarschuwt organisaties voor een kritieke kwetsbaarheid in de Secure Email Gateway en Secure Email and Web Manager waardoor een aanvaller op afstand zonder wachtwoord op de beheerdersinterface van het apparaat kan inloggen. De Secure Email Gateway, eerder bekend als Email Security Appliance, en de Secure Email and Web Manager, eerder bekend als Security Management Appliance (SMA), zijn zowel virtuele als hardwarematige appliances voor het filteren van e-mailverkeer op allerlei dreigingen.

Een kwetsbaarheid, aangeduid als CVE-2022-20798, maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand de authenticatie te omzeilen en op de beheerdersinterface van het apparaat in te loggen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Volgens Cisco wordt het probleem veroorzaakt door een onvoldoende authenticatiecontrole wanneer een apparaat gebruikmaakt van het Lightweight Directory Access Protocol (LDAP) voor externe authenticatie.

LDAP laat gebruikers data over onder andere organisaties en personen vinden. Bij LDAP-authenticatie worden opgegeven gebruikersnamen en wachtwoorden gecontroleerd door verbinding te maken met een directory service die van het LDAP-protocol gebruikmaakt. In het geval van de Cisco-kwetsbaarheid kan een aanvaller door bepaalde invoer op de inlogpagina de authenticatie omzeilen en zo ongeautoriseerde toegang krijgen. Cisco heeft updates uitgebracht. Daarnaast is er een workaround waarbij "anonymous binds" op de externe authenticatieserver moeten worden uitgeschakeld.

 

bron: https://www.security.nl

[Captain Kirk]

Cisco zal lek dat overname end-of-life routers mogelijk maakt niet patchen

 

Cisco zal een kritieke kwetsbaarheid waardoor het voor een aanvaller mogelijk is om op afstand volledige controle over verschillende modellen routers te krijgen niet patchen. De apparaten zijn namelijk end-of-life (pdf). Het gaat om de Cisco Small Business RV110W, RV130, RV130W en RV215W vpn-routers.

Het beveiligingslek, aangeduid als CVE-2022-20825, wordt veroorzaakt door het onvoldoende valideren van inkomende http-packets. Door het versturen van een speciaal geprepareerd request naar de beheerdersinterface kan een aanvaller willekeurige commando's op de router met rootrechten uitvoeren.

De beheerdersinterface van de betreffende routers is toegankelijk vanaf een LAN-verbinding die niet is uit te schakelen. In het geval remote management staat ingeschakeld is de interface ook toegankelijk vanaf het internet. Standaard is dat echter niet het geval. Cisco adviseert klanten die nog van de routers gebruikmaken om over te stappen naar een apparaat dat nog wel wordt ondersteund.

 

bron: https://www.security.nl