Cisco a publié récemment des correctifs logiciels pour une vulnérabilité critique dans le composant de vérification des e-mails DANE (Dns-based Authentication of Named Entities) de Cisco AsyncOS Software pour Cisco Email Security Appliance (ESA) qui permet à un attaquant distant non authentifié de provoquer un déni de service (DoS) sur un périphérique affecté.

Suivie sous le nom CVE-2022-20653 avec un score CVSS de 7.5. Selon un rapport de Cisco, cette faille peut être exploitée en envoyant des e-mails spécialement structurés par un dispositif infecté, une fois l’exploitation réussie l’acteur de menace peut rendre le périphérique inaccessible depuis les interfaces de gestion ou de traiter des e-mails supplémentaires pendant un certain temps jusqu'à ce que le dispositif se rétablisse, ce qui entraînerait un DoS. Des attaques continues pourraient rendre le dispositif complètement indisponible, ce qui entraînerait un DoS persistant.

Il est recommandé aux utilisateurs des systèmes affectés ( Cisco AsyncOS versions : 12.5 et antérieures, 13.0.x, 13.5.x, et 14.0.x) de passer à des versions récentes afin d’éviter toute exploitation possible.