De kwetsbaarheid ontstaat door onjuiste invoervalidatie, waardoor een aanvaller commando’s kunnen uitvoeren met root-rechten op het systeem. Alle versies van Cisco AsyncOS zijn kwetsbaar, maar misbruik vereist twee voorwaarden op Cisco Secure Email Gateway (SEG)- en Cisco Secure Email and Web Manager (SEWM)-apparaten:
- De functie Spam Quarantine moet zijn ingeschakeld. Deze functie is standaard niet actief.
- De Spam Quarantine-interface moet bereikbaar zijn vanaf het internet.
Gebruikers kunnen controleren of de functie actief is door in te loggen op de webbeheerconsole van het apparaat en naar de juiste IP-interface-instellingen te navigeren, zoals beschreven in de officiële Cisco-documentatie.
Aangezien de kwetsbaarheid momenteel nog niet is gepatcht, raadt Cisco verschillende mitigaties aan:
- Herconfigureer apparaten zodat de Spam Quarantine-interface niet toegankelijk is vanaf het internet.
- Plaats apparaten achter een firewall die alleen verkeer van vertrouwde hosts toestaat.
- Scheid e-mail- en beheersfuncties op afzonderlijke netwerkinterfaces.
- Controleer web-logverkeer op onverwachte verzoeken.
- Schakel ongebruikte netwerkservices uit.
Wanneer een appliance is gecompromitteerd, stelt Cisco dat een volledige her-installatie momenteel de enige betrouwbare manier is om achtergelaten backdoors van de aanvaller te verwijderen. Voor meer details over de Cisco-waarschuwing, raadpleeg het officiële Cisco Security Advisory.
