Cisco E-posta Yöneticisindeki Kritik Hata Kimlik Doğrulamanın Atlanmasına Yol Açıyor

ABD merkezli ağ teknolojileri şirketi Cisco, geçtiğimiz günlerde E-posta Güvenlik Aracını (ESA) ve Güvenli E-posta ve Web Yöneticisi üzerinde, bir saldırgan tarafından kimlik doğrulamasını atlamak için kullanılabilecek kritik bir güvenlik açığına işaret ederek güncelleme yayımladı.

CVE tanımlayıcısı CVE-2022-20798‘e atanan güvenlik açığı, CVSS puanlama sisteminde 10 üzerinden 9,8 olarak derecelendirildi.

Cicso konuyla ilgili açıklamasında “Saldırgan, etkilenen cihazın oturum açma sayfasına girerek bu güvenlik açığından yararlanabilir ve açıklardan başarılı bir şekilde yararlanarak etkilenen cihazın web tabanlı yönetim arayüzüne yetkisiz erişim sağlamasına izin verebilir.” ifadelerini kullanıyor.

Bir teknik yardım merkezi (TAC) vakası sırasında tespit edildiğini söylenen hata, AsyncOS yazılımının 11’inci ve daha önceki sürümlerinde çalışan ESA, Güvenli E-posta ve Web Yöneticisi uygulamalarını etkiliyor. Eğer cihazlar, harici kimlik doğrulamayı kullanacak şekilde yapılandırılmış ve kimlik doğrulama protokolü olarak LDAP kullanıyorlarsa 12, 12.x, 13, 13.x, 14, ve 14.x sürümleri de bu güvenlik açığından etkileniyor.

Bu güvenlik açığından ayrı olarak Cisco, Small Business RV110W, RV130, RV130W ve RV215W yönlendiricilerini etkileyen ve kimliği doğrulanmamış, uzak bir saldırganın rastgele kod yürütmesi ya da etkilenen cihazı beklenmedik bir şekilde yeniden başlatarak DDoS’a neden olabilecek başka bir kritik hata hakkında da müşterilerini bilgilendirdi.

CVE-2022-20825 (CVSS puanı: 9.8) olarak izlenen söz konusu hata, gelen HTTP paketlerinin yetersiz kullanıcı girişi doğrulaması durumuyla ilgili. Ancak Cisco, ürünlerin kullanım ömrünün sonuna ulaştığı için ne yazılım güncellemeleri ne de kusuru çözmek için geçici çözümler yayınlamayı planlamadığını söyledi.