Cisco Email Security Appliances met AsyncOS zijn kwetsbaar voor een vernietigende aanval waarvoor een hacker slechts één slimme e-mail moet sturen. Een patch is beschikbaar.
Cisco waarschuwt voor een bug waarbij een enkele e-mail beveiligingstoestellen offline kan halen en houden. E-mail-beveiligingssystemen die draaien op AsyncOS zijn kwetsbaar. Het gaat om alle Cisco Email Security Appliance (ESA)-toestellen. Wie dergelijke systemen gebruikt, kan best meteen updaten. Zonder de update kunnen hackers de toestellen bijna permanent neerhalen met de hulp van een malafide e-mail.
DDoS met één mail
Het probleem schuilt de controle van het Secure/Multipurpose Internet Mail Extentions (S/MIME)-protocol. Dat protocol laat gebruikers toe om een mail digitaal te ondertekenen en te versleutelen. Door een dergelijke mail opzettelijk van een kwaadaardige S/MIME-handtekening te voorzien, verslikt de ESA zich.
Het proces verantwoordelijk voor het filteren van mails zal crashen en vervolgens automatisch opnieuw opstarten. Na die reboot zal de ESA opnieuw proberen dezelfde mail te verwerken, met een nieuwe crash tot gevolg. Het blijft vervolgens in die cyclus zitten totdat iemand het probleem opmerkt en het toestel manueel komt herconfigureren. In essentie kan een hacker dus het effect van een DDoS-aanval bewerkstelligen met een enkele slim opgestelde mail.
Updaten
Volgens Cisco wordt de bug momenteel nog niet uitgebuit in het wild, maar de netwerkspecialist vraagt iedereen om de relevante patch toch zo snel mogelijk te installeren. Op patchen na bestaat er immers geen remedie voor het probleem. Cisco zelf bestempelt de bug (CVE-2018-15453) als kritiek. Het is zoals altijd een goed idee om beveiligingspatches zo snel mogelijk te installeren, en gezien de ernst van het probleem is dat nu meer dan ooit waar.