Cisco の Secure Email Gateways の簡単な回避方法:匿名の研究者が詳細を公表

Researcher warns that Cisco Secure Email Gateways can easily be circumvented

2022/11/22 SecurityAffairs — 匿名の研究者が公開したのは、Cisco Secure Email Gateway アプライアンスの一部のフィルターを回避し、特別に細工したメールを介してマルウェアを配信する一連のテクニックである。この研究者は、攻撃の複雑性が低いことを指摘し、また、すでに第三者により公開されているエクスプロイトが、用いられることを付け加えている。この専門家は、協調的な開示手続きの中で、この技術を開示した。



彼は、Full Disclosure メーリング・リストで、「このレポートは、調整された開示手順の中で公開されている。研究者としてベンダーと連絡を取り合っているが、所定の期間内に満足できる回答が得られていないこの攻撃の複雑さは低く、また、すでに第三者が公開しているエクスプロイトが用いられるため、これ以上はスレッドの公開を遅らせられない」と記している。

この研究者の説明によると、Cisco Secure Email Gateway は、エラー・トレランスおよび、メール・クライアントの各種 MIME デコード機能を利用する、リモートの攻撃者により回避が可能だという。

彼が開示した方法は、攻撃者による Cisco Secure Email Gateway の回避を可能にし、また、Outlook/Thunderbird/Mutt/Vivaldi などのメール・クライアントに対して機能する。

3つの方法は以下の通りである:

方法1:Cloaked Base 64 :この悪用は、Eicar テスト・ウイルスを含む ZIP ファイルと、AsyncOS 14.2.0-620/14.0.0-698 などの Cisco Secure Email Gateway でテストされている。この方法は、Microsoft Outlook for Microsoft 365 MSO ((Version 2210 Build 16.0.15726.20070) 64-bit/Mozilla Thunderbird 91.11.0 (64-bit)/Vivaldi 5.5.2805.42 (64-bit)/Mutt 2.1.4-1ubuntu1.1 などの、いくつかのメール・クライアントに影響を及ぼす。

方法2: yEnc エンコーディング:このエクスプロイトは、Eicar テスト・ウイルスを含む zip ファイルと、AsyncOS 14.2.0-620/14.0.0-698 などの Cisco Secure Email Gateway でテストされている。この方法は、Mozilla Thunderbird 91.11.0 (64-bit) のメール・クライアントに影響を与える。

方法3:隠蔽された引用印刷:このエクスプロイトは、Eicar テスト・ウイルスを含む ZIP ファイルと、AsyncOS 14.2.0-620/14.0.0-698 などの Cisco Secure Email Gateway でテストされている。この方法は、Vivaldi 5.5.2805.42 (64-bit)/Mutt 2.1.4-1ubuntu1.1 Email Clients に影響を与える。

Cisco が公開したバグレポートは、Cisco Secure Email Gateway の Sophos/McAfee のスキャン・エンジンに存在する問題により、認証されていないリモートの攻撃者に対して、特定のフィルタリング機能の回避を許す可能性があるというものだ。

同社のアドバイザリには、「この問題は、潜在的に悪意のある、メールや添付ファイルを不適切に識別することに起因している。攻撃者は、不正な Content-Type ヘッダー (MIME Type) を持つ悪意の電子メールを、影響を受けるデバイスを介して送信することで、この問題を悪用できる。この悪用に成功した攻撃者は、影響を受けるスキャン・エンジンに基づくデフォルトのマルウェア対策フィルタリング機能を回避し、エンド・クライアントへ向けて、悪意のメッセージを配信する可能性がある」と記されている。

この問題は、デフォルトのコンフィグレーションで動作している、各種のデバイスに影響を与える。

研究者は、この攻撃方法で採用されたコードや、MIME エンコーディングを操作する類似テクニックは、GitHub で公開されている不正な MIME を生成/テストするための、オープンソース Toolkit に実装されていると説明している。

Cisco の脆弱性情報が、匿名のセキュリティ研究者により公表されるという、ちょっと珍しい展開です。お隣のキュレーション・チームも参照している seclists.org の、Full Disclosure メーリング・リストで詳細が確認できます。よろしければ、Cisco で検索も、ご利用ください。

%d bloggers like this: