Plataforma
cisco
Componente
cisco-email-security-appliance-and-cisco-secure-email-and-web-manager
La vulnerabilidad CVE-2022-20798 es un bypass de autenticación crítico que afecta a los dispositivos Cisco Email Security Appliance (ESA) y Cisco Secure Email and Web Manager (anteriormente Cisco SMA). Un atacante remoto no autenticado puede explotar esta falla para acceder a la interfaz de gestión web del dispositivo, comprometiendo potencialmente la seguridad del correo electrónico. La vulnerabilidad se debe a una validación incorrecta de la autenticación al usar LDAP. Se recomienda aplicar las actualizaciones de seguridad proporcionadas por Cisco.
La explotación exitosa de CVE-2022-20798 permite a un atacante no autenticado obtener acceso completo a la interfaz de gestión web del ESA o Secure Email and Web Manager. Esto otorga control sobre la configuración del dispositivo, incluyendo reglas de filtrado de correo electrónico, políticas de seguridad y potencialmente acceso a datos confidenciales. Un atacante podría modificar estas configuraciones para redirigir el tráfico de correo electrónico, insertar malware o realizar ataques de phishing dirigidos. La falta de autenticación necesaria para explotar esta vulnerabilidad la convierte en un riesgo significativo, especialmente en entornos donde la seguridad del correo electrónico es crítica. La capacidad de controlar el flujo de correo electrónico podría permitir el robo de credenciales o la propagación de malware a través de la red.
CVE-2022-20798 se agregó al Catálogo de Vulnerabilidades Conocidas (KEV) de CISA. No se han reportado públicamente exploits activos a gran escala, pero la naturaleza crítica de la vulnerabilidad y la facilidad de explotación la convierten en un objetivo atractivo para los atacantes. La publicación de la vulnerabilidad en junio de 2022, junto con la disponibilidad de parches, indica que los atacantes podrían estar explorando activamente esta falla. Se recomienda monitorear los sistemas afectados para detectar signos de intrusión.
Organizations heavily reliant on Cisco ESA and SMA for email security are particularly at risk. Environments using LDAP for authentication, especially those with exposed management interfaces, face the highest threat. Shared hosting environments where multiple customers share the same ESA/SMA instance are also vulnerable.
• linux / server:
journalctl -u smad | grep "LDAP authentication failed"• generic web:
curl -I <esa_ip>/admin -v | grep Authentication: # Check for unexpected authentication headers• cisco: Review Cisco device logs for failed LDAP authentication attempts and unusual login patterns. Examine LDAP configuration files for misconfigurations.
disclosure
Estado del Exploit
EPSS
1.31% (80% percentil)
Vector CVSS
Cisco ha publicado actualizaciones de seguridad para abordar CVE-2022-20798. La mitigación principal es actualizar los dispositivos ESA y Secure Email and Web Manager a las versiones corregidas. Si la actualización inmediata no es posible, se recomienda revisar y endurecer la configuración de LDAP. Asegúrese de que las contraseñas de administrador sean complejas y únicas, y limite el acceso a la interfaz de gestión web solo a usuarios autorizados. Implementar reglas de firewall para restringir el acceso a los puertos de gestión del dispositivo desde fuentes no confiables también puede ayudar a mitigar el riesgo. Después de la actualización, confirme la correcta aplicación revisando los registros del sistema y verificando que la autenticación LDAP funcione como se espera.
Actualice Cisco Email Security Appliance (ESA) y Cisco Secure Email and Web Manager a una versión que no sea vulnerable. Consulte el advisory de Cisco para obtener detalles sobre las versiones corregidas y las instrucciones de actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2022-20798 is a critical vulnerability in Cisco Email Security Appliance and Cisco Secure Email and Web Manager allowing unauthenticated attackers to bypass authentication via LDAP and access the management interface.
You are affected if you are using Cisco Email Security Appliance or Cisco Secure Email and Web Manager prior to the currently unavailable fixed version. Check your device's version against Cisco's advisory.
Upgrade to the fixed version as soon as it is released by Cisco. Until then, disable LDAP authentication and implement WAF rules to mitigate the risk.
While no active exploitation campaigns have been publicly confirmed, the vulnerability's criticality and lack of a fix increase the risk of exploitation.
Refer to the official Cisco Security Advisory for CVE-2022-20798: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-esa-sma-auth-bypass-20220615
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.