Cisco komt na maand met update voor misbruikt lek in Secure Email Gateway

[Captain Kirk]

Cisco heeft beveiligingsupdates uitgebracht voor een actief misbruikte kwetsbaarheid in de Cisco Secure Email Gateway en Cisco Secure Email & Web Manager die al een maand bekend is. Via het kritieke beveiligingslek kan een aanvaller willekeurige commando's met rootrechten op het onderliggende besturingssysteem van de appliance uitvoeren. Cisco waarschuwde op 17 december voor het probleem, maar had toen nog geen patches beschikbaar.

De impact van de kwetsbaarheid (CVE-2025-20393) is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. De Secure Email Gateway, eerder bekend als Email Security Appliance, en de Secure Email & Web Manager, eerder bekend als Security Management Appliance (SMA), zijn zowel virtuele als hardwarematige appliances voor het filteren van e-mailverkeer op allerlei dreigingen.

De aanvallen waarvoor Cisco een maand geleden waarschuwde zijn gericht tegen zowel de fysieke als virtuele versies van Cisco Secure Email Gateway en Cisco Secure Email & Web Manager. Voorwaarde voor misbruik is dat de appliance is geconfigureerd met de Spam Quarantine feature en deze feature vanaf het internet bereikbaar is. Cisco merkt op dat de Spam Quarantine feature niet standaard staat ingeschakeld. Zodra de aanvallers een apparaat hebben gehackt installeren ze een "persistent covert channel" om op afstand toegang tot het apparaat te behouden.

Het netwerkbedrijf heeft het beveiligingsbulletin nu voorzien van meer informatie over de kwetsbaarheid, de beschikbaarheid van beveiligingsupdates en welke versies precies kwetsbaar zijn. Cisco liet eerder al weten dat het beveiligingslek zeker sinds eind november bij aanvallen is ingezet. Hoeveel systemen wereldwijd zijn gecompromitteerd is onbekend.

 

bron: https://www.security.nl