هشدار جدی دور زدن ساده Secure Email Gateway سیسکو
اخبار داغ فناوری اطلاعات و امنیت شبکه
یک محقق فاش کرد که چگونه میتوان برخی از فیلترها را در دستگاه Cisco Secure Email Gateway دور زد و با استفاده از ایمیلهای مخصوص ساخته شده، بدافزار را د سیستم قربانی مستقر کرد.
یک محقق ناشناس به طور علنی مجموعهای از تکنیکها را برای دور زدن برخی از فیلترهای موجود در دستگاه Cisco Secure Email Gateway فاش کرد و با استفاده از ایمیلهای مخصوص ساخته شده، بدافزار را مستقر کرد.
این محقق خاطرنشان کرد که پیچیدگی حمله کماست، همچنین افزود که اکسپلویتهای فعال قبلا توسط یک مجموعه شخص ثالث منتشر شده است. این متخصص، این تکنیک را در یک فرایند افشای هماهنگ فاش کرد.
وی گفت : "این گزارش در یک روش افشای هماهنگ منتشر میشود. محقق با تامینکننده در تماس بوده اما در یک بازه زمانی معین پاسخ رضایتبخش دریافت نکرده است. از آنجا که پیچیدگی حمله کماست و اکسپلویتها قبلا توسط مجموعه شخص ثالث منتشر شده است، نباید تاخیر دیگری در عمومیسازی این اکسپلویتها وجود داشته باشد. "
محققان توضیح دادند که Secure Email Gateways سیسکو را میتوان توسط یک مهاجم از راه دور که تلورانس خطا را افزایش داده و قابلیت رمزگشایی مختلف MIME را از کلاینت ایمیل استفاده میکند، دور بزند.
روشهای فاش شده توسط محقق میتواند به مهاجمان اجازه دهد تا Secure Email Gateway سیسکو را دور بزنند؛ آنها در برابر چندین مشتری ایمیل مانند Outlook، Thunderbird، Mutt و Vivaldi کار میکنند.
سه روش عبارتند از :
روش ١ : Cloaked Base 64 - این اکسپلویت با موفقیت با یک فایل ZIP حاوی ویروس تست EICAR و Secure Email Gateway سیسکو با یک فایل ZIP حاوی ویروس تست EICAR و Secure Email Gateway سیسکو با Asyncos 14.2.0-620 ، 14.0.0-698 و سایر موارد، مورد آزمایش قرار گرفت. این روش بر چندین کلاینت ایمیل تأثیر می گذارد، از جمله Microsoft Outlook برای Microsoft 365 MSO (نسخه 2210 ساخت 16.0.15726.20070) 64 بیتی ، موزیلا Thunderbird 91.11.0 (64 بیتی) ، Vivaldi 5.5.2805.42 (64 بیتی) ، Mutt 2.1. 4-1ubuntu1.1 ، و سایرین.
روش ٢ : رمزگذاری YENC - این اکسپلویت با موفقیت با یک فایل ZIP حاوی ویروس تست EICAR و Cisco Secure Email Gateways با Asyncos 14.2.0-620 ، 14.0.0-698 و سایرین مورد آزمایش قرار گرفت. این روش بر کلاینتهای ایمیل Mozilla Thunderbird 91.11.0 (64 بیتی) تاثیر میگذارد.
روش ٣ : Cloaked Quoted-Printable - این اکسپلویت با موفقیت با یک فایل ZIP حاوی ویروس تست EICAR و Secure Email Gateways سیسکو با Asyncos 14.2.0-620 ، 14.0.0-698 و سایر موارد مورد آزمایش قرار گرفت. این روش بر کلاینتهای ایمیل Vivaldi 5.5.2805.42 (64 بیتی) و Mutt 2.1.4-1ubuntu1.1 تأثیر میگذارد.
سیسکو یک گزارش باگ در مورد یک مشکل در موتورهای اسکن Sophos و McAfee از Secure Email Gateway سیسکو منتشر کرد که میتواند به یک مهاجم غیرمجاز و از راه دور اجازه دهد تا از ویژگیهای فیلترینگ خاص استفاده کند.
وی افزود : "این مسئله به دلیل شناسایی نادرست ایمیلها یا پیوستهای بالقوه مخرب است. یک مهاجم میتواند با ارسال یک ایمیل مخرب با عناوین از نوع محتوای ناهنجار (نوع MIME) از طریق یک دستگاه آسیب دیده، از این مسئله سوءاستفاده کند. یک بهرهبرداری میتواند به مهاجم اجازه دهد تا از ویژگیهای فیلتر پیشفرض ضد بدافزار بر اساس موتورهای اسکن آسیب دیده دور شود و پیامهای مخرب را با موفقیت به مشتریان نهایی تحویل دهد. "
دستگاههای که با پیکربندی پیشفرض در حال اجرا هستند، تحت تاثیر این مشکل قرار دارند.
این محقق توضیح داد که کد با استفاده از روشهای حمله و بسیاری از تکنیکهای مشابه برای دستکاری رمزگذاری MIME، در یک ابزار متن باز برای تولید و آزمایش تقلید مخرب که در GitHub موجود است، اجرا میشوند.
این ابزار سالهاست که شناخته شده است و در محصولات چندین تامینکننده یافت میشود.
برچسب ها: Cloaked Base 64, Cloaked Quoted-Printable, YENC, Asyncos, EICAR, Cloaked, Vivaldi, Mutt, MIME, Cisco Secure Email Gateway, Secure Email Gateway, Exploit, Sophos, Thunderbird, Cisco, Ubuntu, Email, Outlook, اکسپلویت, McAfee, malware, سیسکو, ایمیل, دفاع سایبری, Cyber Security, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری, news