Cisco Secure Email の認証回避の脆弱性 CVE-2022-20798 が FIX:早急な確認が推奨される

Cisco Secure Email bug can let attackers bypass authentication

2022/06/15 BleepingComputer — 今週に Cisco は、デフォルト以外に設定された Cisco Secure Email Gateway Appliance の Web 管理インターフェイスに存在する、深刻な脆弱性を修正するよう、顧客に通知した。この脆弱性の悪用に成功した攻撃者に対して、認証を回避したログインを許す可能性があるという。

この脆弱性 CVE-2022-20798 は、仮想/ハードウェアの Cisco Email Security Appliance (ESA)/Cisco Secure Email and Web Manager Appliance の外部認証機能で発見されたものであり、外部認証に Lightweight Directory Access Protocol (LDAP) を使用するデバイスの、不適切な認証チェックに原因があるとされる。

Cisco は、「この脆弱性は、ターゲットとなるデバイスのログイン・ページで、攻撃者が特定の入力を実行することで悪用が可能になる。悪用に成功した攻撃者は、影響を受けるデバイスの Web ベースの管理インターフェイスへの、不正アクセスができるようになる」と述べている。

水曜日に公開されたアドバイザリによると、この脆弱性は Cisco TAC (Technical Assistance Center) によるサポート・ケースの解決中に発見されたとのことだ。Cisco の Product Security Incident Response Team (PSIRT) は、この脆弱性のエクスプロイト公開/悪用に関しては認識していないとしている。

デフォルト設定のデバイスには影響しない

この脆弱性は、外部認証と LDAP を認証プロトコルとして使用するように設定されたデバイスにのみ影響するが、Cisco によると、外部認証機能はデフォルトでは無効になっているため、デフォルト設定のデバイスは対象外となる。

使用している機器の外部認証機能の有効/無効に関しては、Web ベースの管理インターフェイスにログインし、System Administration > Users と進み、Enable External Authentication の隣にある緑色のチェックボックスで確認できる。

また Cisco によると、この脆弱性は、従来は Cisco Web Security Appliance として知られていた Cisco Secure Web Appliance 製品には影響しないとのことだ。CVE-2022-20798 のセキュリティ・アップデートを直ちにインストールできない管理者は、外部認証サーバーの匿名バインドを無効にするという回避策を適用できる。

また、2022年2月に修正された Secure Email gateway の脆弱性により、リモートの攻撃者が悪意を持って細工した Eメール・メッセージを利用することで、パッチが適用されていないデバイスをクラッシュさせる可能性もある。

また、今日の Ciscoは、販売終了している RV110W/RV130/RV130W/RV215W SMB ルータに影響する深刻なゼロデイ脆弱性 (攻撃者がルートレベルの権限で任意のコマンドを実行できる) に関しては、修正しないことも発表している。

Cisco Secure Email Gateway Appliance の Web 管理インターフェイスに存在する、とても深刻な脆弱性 CVE-2022-20798 ですが、デフォルトでの運用では Enable External Authentication が OFF になっているため、影響は生じないとのことです。簡単に確認できることなので、適切にご対応ください。よろしければ、Cisco で検索も、ご利用ください。

%d bloggers like this: