UPDATE: DFN-CERT-2017-2154 Cisco Email Security Appliance (ESA): Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Netzwerk][Cisco]

UPDATE: DFN-CERT-2017-2154 Cisco Email Security Appliance (ESA): Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Netzwerk][Cisco]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (12.12.2017):
Cisco führt unter der Cisco Bug ID CSCvf44666 unter ‘Known Affected
Releases’ die folgenden AsyncOS ESA Versionen 10.0.0-203, 11.0.0-264,
9.7.0-125, 9.7.1-071 und 9.7.2-047 auf, der Status des Bugs wurde auf
‘Fixed’ gesetzt. Zusätzlich veröffentlicht Cisco einen Workaround zur
Deaktivierung der Schwachstelle.
Version 1 (30.11.2017):
Neues Advisory

Betroffene Software:

AsyncOS ESA 9.7.0-125
AsyncOS ESA 9.7.1-071
AsyncOS ESA 9.7.2-047
AsyncOS ESA 10.0.0-203
AsyncOS ESA 11.0.0-264

Betroffene Plattformen:

Cisco Email Security Appliance

Eine Schwachstelle in Cisco Email Security Appliance (ESA) ermöglicht einem
entfernten, nicht authentisierten Angreifer das Umgehen von
Sicherheitsvorkehrungen und infolgedessen die Durchführung weiterer
Angriffe.

Cisco bestätigt die Schwachstelle und verweist bezüglich betroffener
Software-Releases auf die Bug ID CSCvf44666. Darin wird unter ‘Known
Affected Releases’ die Version ESALUCENCE-000 der Cisco AsyncOS Software für
Email Security Appliances (ESA) aufgeführt und der Status mit ‘Open’
angegeben. Demnach stehen derzeit noch keine Sicherheitsupdates zur Behebung
der Schwachstelle zur Verfügung.

Workaround:

Um die Schwachstelle in einem betroffenen Produkt zu vermeiden, kann der
Benutzer eine der folgenden Authentifikationsmechanismen konfigurieren:
Forged Email Detection (FED), Sender Policy Framework (SPF), Domain Keys
Identified Mail (DKIM) sowie Domain-Based Message Authentication, Reporting
und Conformance (DMARC). Eine Übersicht der ESA-Dokumentation von Cisco,
welche die Konfiguration der genannten Mechanismen beinhaltet, wurde als
Referenz aufgenommen.

Patch:

Cisco Security Advisory cisco-sa-20171129-esa (CVE-2017-12353)

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171129-esa

CVE-2017-12353: Schwachstelle in Cisco Email Security Appliance ermöglicht
Umgehen von Sicherheitsvorkehrungen

In Cisco Email Security Appliances werden schädlich geformte Multipurpose
Internet Mail Extensions (MIME)-Header in E-Mail-Anhängen aufgrund
unsauberer Fehlerbehandlung nicht korrekt gescannt und etwaige Filterregeln
von Benutzern übergangen. Dies ermöglicht einem Angreifer durch Versenden
einer E-Mail mit manipuliertem MIME-Header im Anhang an ein potentielles
Opfer die beabsichtigte Sicherheitsvorkehrung zu umgehen. Auch wenn der
schädliche MIME-Header vielleicht nicht RFC-konform ist, besteht dadurch das
Risiko, dass der schädliche E-Mail-Anhang durch den ahnungslosen Benutzer in
seinem E-Mail-Client geöffnet wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2154/

Cisco Security Advisory cisco-sa-20171129-esa (CVE-2017-12353):
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171129-esa

Schwachstelle CVE-2017-12353 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12353

Cisco ESA-Dokumentation:
https://www.cisco.com/c/en/us/support/security/email-security-appliance/products-user-guide-list.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben