Eigentlich soll Symantec Messaging Gateway (SMG) Systeme vor gefährlichen E-Mails schützen. Doch aufgrund von zwei Sicherheitslücken könnten Angreifer Appliances attackieren.
Das von einer Schwachstelle (CVE-2020-12594) ausgehende Risiko ist als "hoch" eingestuft. Für erfolgreiche Attacken muss ein Angreifer authentifiziert sein und die Rechte für einen CLI-Zugriff haben. Ist das gegeben, könnte ein Angreifer auf nicht näher beschriebenem Weg höhere Nutzerrechte bekommen und die volle Kontrolle über SMG erlangen, warnt Broadcom in einem Beitrag.
Durch das erfolgreiche Ausnutzen einer weiteren Schwachstelle (CVE-2020-12595, "mittel") könnte das Passwort von einem Remote-SCP-Backup-Server leaken. Die SMG-Version 10.7.4 ist gegen die Attacken abgesichert.
Quelle: Symantec Messaging Gateway könnte Passwörter leaken | heise online