Cisco ha encontrado una vulnerabilidad de alta criticidad que podría permitir a los atacantes remotos bloquear los dispositivos de correo electrónico seguro de Cisco mediante mensajes de correo electrónico creados con fines malintencionados.
La vulnerabilidad CVE-2022-20653 describe que en el componente de verificación de correo electrónico de autenticación de entidades con nombre (DANE) basado en DNS del software Cisco AsyncOS para Cisco Email Security Appliance (ESA) podría permitir que un atacante remoto no autenticado provoque una condición de denegación de servicio (DoS) en un dispositivo afectado. Se debe tener en cuenta, que la función DANE no está habilitada de forma predeterminada.
Esta vulnerabilidad se debe a un manejo insuficiente de errores en la resolución de nombres DNS por parte del software afectado. Un atacante podría explotar esta vulnerabilidad enviando mensajes de correo electrónico con un formato especial que son procesados por el dispositivo afectado. Una explotación exitosa podría permitir al atacante hacer que el dispositivo no se pueda alcanzar desde las interfaces de gestión o procesar mensajes de correo electrónico adicionales durante un período de tiempo hasta que el dispositivo se recupere, lo que resulta en una condición o evento de DoS. Los ataques persistentes podrían hacer que el dispositivo quedara completamente inaccesible.
Aunque la vulnerabilidad de seguridad puede ser explotada de forma remota por atacantes no autentificados, Cisco dice que el componente vulnerable de verificación de correo electrónico DANE no está activado por defecto.
Los administradores pueden comprobar si DANE está configurado sobre la interfaz web Mail Policies > Destination Controls > Add Destination y confirmando si la opción DANE Support está activada.
Cisco también ha confirmado que CVE-2022-20653 no afecta a Web Security Appliance (WSA) y Secure Email and Web Manager ni a los dispositivos sin la función DANE activada.
Aunque la vulnerabilidad de seguridad puede ser explotada de forma remota por atacantes no autentificados, Cisco dice que el componente vulnerable de verificación de correo electrónico DANE no está activado por defecto.
Los administradores pueden comprobar si DANE está configurado sobre la interfaz web Mail Policies > Destination Controls > Add Destination y confirmando si la opción DANE Support está activada.
Cisco también ha confirmado que CVE-2022-20653 no afecta a Web Security Appliance (WSA) y Secure Email and Web Manager ni a los dispositivos sin la función DANE activada.
Recomendaciones
- Verificar que la función DANE en sus dispositivos este deshabilitada
- Actualizar a una versión de software fija adecuada, como se indica en las siguientes tablas:
Casos de uso *:
- Seguimiento de actividades de un posible
- Ataque de día Cero
- Prevención Phishing & Protección Anti-spam
- Posible conexión DNS o Servidor DNS no autorizado
- Posible actividad de DoS en la red
*Para contar con estas detecciones el cliente requiere tener servicios de SOC contratados.
Para más información puede consultar las siguientes fuentes asociadas a la noticia:
- https://securityaffairs.co/wordpress/128131/hacking/cisco-esa-dos.html
- https://www.bleepingcomputer.com/news/security/hackers-can-crash-cisco-secure-email-gateways-using-malicious-emails/
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-esa-dos-MxZvGtgU
- https://www.cisa.gov/uscert/ncas/current-activity/2022/02/17/cisco-releases-security-updates-email-security-appliance
- https://www.securityweek.com/malicious-emails-can-crash-cisco-email-security-appliances
- https://www.itnews.com.au/news/cisco-email-appliances-have-a-brickable-vulnerability-576199
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-20653
