Af Eskil Sørensen, 17/06/22
Der er fundet en sårbarhed i Cisco Email Security Appliance, Cisco Secure Email & Web Manager, der kan åbne for omgåelse af de normale autentifikationsprocesser under specifikke forhold. Udnyttelse sårbarheden kan føre til uautoriseret adgang til den webbaserede administrationsgrænseflade på en ikke-opdateret enhed. Sårbarheden har fået scoren 9,8 på CVSS-skalaen og har id-nummeret CVE-2022-20798.
Der er foreløbig ikke rapporteret udnyttelser af sårbarhederne.
For at kunne udnytte sårbarheden skal den berørte enhed have aktiveret brugen af ekstern godkendelse og bruger LDAP som godkendelsesprotokol. Ved forsøg på udnyttelse kontrolleres det om en sårbar enhed bruger Lightweight Directory Access Protocol (LDAP) til ekstern godkendelse.
Udnyttelse af sårbarheden kan give uautoriserede adgang til den webbaserede administrationsgrænseflade på den berørte enhed.
Følgende anbefales:
- Installation af de anbefalede opdateringer fra Cisco (se referencer).
- Anvendelse af "Principle of Least Privileges" på alle enheder.
- Anvendelse af "Enpoint Protection Agenter", hvor dette er relevant
- Installation af Host-Based IDS, hvor dette er relevant (og muligt).