Cisco ESA の脆弱性 CVE-2022-20653 が FIX:細工されたメールで DoS 状態

Specially crafted emails could crash Cisco ESA devices

2022/02/17 SecurityAffairs — Cisco AsyncOS Software for Email Security Appliance (ESA) の DNS-based Authentication of Named Entities (DANE) 電子メール検証コンポーネントに存在する、DoS の脆弱性 CVE-2022-20653 により、Cisco ESA 製品群に影響が生じる。認証されていないリモートの攻撃者が、特別に細工した電子メールを脆弱なデバイスに送信することで、この脆弱性の悪用が生じる。

Cisco のアドバイザリによると、この脆弱性は DNS の名前解決における不十分なエラー処理に起因しており、継続的な攻撃が行われると永続的な DoS 状態が引き起こされる可能性があると指摘されている。

Cisco は、「この脆弱性は、影響を受けるソフトウェアにおける DNS の名前解決が、不十分なエラー処理を行っていることに起因する。攻撃者は、特別に細工されたメールメッセージを送信し、対象となるデバイス上で処理させることで、この脆弱性を悪用できる。この脆弱性の悪用に成功した攻撃者は、管理インターフェイスからのデバイスへの到達を阻止し、デバイスが回復するまでの一定期間、追加の電子メールメッセージを処理し、結果的に DoS 状態に陥らせることが可能だ。攻撃が継続すると、デバイスが完全に利用できなくなり、持続的な DoS 状態になる可能性がある」と述べている。

この問題は、DANE 機能 (デフォルトでは無効) が有効にセットされ、バウンス・メッセージを送信するようダウンストリームのメールサーバーが構成されている、AsyncOS ソフトウェアを実行している Cisco ESA 製品群にのみ影響する。

Cisco は、「DANE 設定の ON/OFF を確認するには、Web UI Mail Policies > Destination Controls > Add Destination ページで、DANE Support オプションを確認してほしい」と述べている。

同社は、この脆弱性に対応するセキュリティ・パッチ (Cisco AsyncOS Software Release 13.5.4.102) と回避策を公開している。なお、このバグの悪用を防ぐために、ダウンストリームのメールサーバーからではなく、Cisco ESA からのバウンス・メッセージ設定が可能となっている。

以下の表は、この問題を修正した適切なソフトウェア・リリースを報告している。

CISCO ASYNCOS SOFTWARE RELEASEFIRST FIXED RELEASE
12.5 and earlierMigrate to a fixed release.
13.013.0.3
13.513.5.4.1021
14.014.0.2.020

この脆弱性は、Rijksoverheid Dienst ICT Uitvoering (DICTU) の Cesare Auteri/ Steven Geerts/ John-Paul Straver/ Roy Wiss により報告された。なお、Cisco PSIRT では、この問題を悪用した攻撃を確認していないとのことだ。

この Cisco の脆弱性 CVE-2022-20653 ですが、お隣のキュレーション・チームに聞いてみたら、2月17日にレポートにアップしているとのことでした。2022年に入ってからの Cisco 関連の脆弱性情報としては、1月13日の「Cisco の Unified CCMP/CCDM の深刻な脆弱性 CVE-2022-20658 が FIX」や、1月20日の「Cisco の Configuration Manager に深刻な脆弱性:デバッグ・モードから root 権限で RCE」、2月3日の「Cisco Small Business RV ルーターに深刻な脆弱性:パッチの提供を確認してアップデートを」などがあります。よろしければ、ご参照ください。

%d bloggers like this: