思科解决了一个严重漏洞,该漏洞可能允许攻击者更改易受攻击的思科智能软件管理器本地 (Cisco SSM On-Prem) 服务器上任何用户的密码,包括管理员密码。
该漏洞影响版本 8-202206 及更早版本,以及旧版本的 SSM On-Prem(版本 7.0 之前),以前称为思科智能软件管理器卫星 (SSM Satellite)。
该严重错误通过标识符 CVE-2024-20419 进行跟踪,并在 CVSS 评分中获得 10 分(满分 10 分)。
据报告,该问题与 SSM On-Prem 身份验证系统中的密码更改过程中的错误有关。
成功利用该漏洞后,未经身份验证的远程攻击者可以在不知道原始凭据的情况下为用户设置新密码。
该漏洞是由于密码更改过程执行不正确造成的。
思科表示,攻击者可以通过向易受攻击的设备发送特制的 HTTP 请求来利用此问题。“成功的利用允许以受感染用户的权限访问 Web 界面或 API。
我们现在建议所有管理员尽快将 Cisco SSM On-Prem 更新到版本 8-202212 或版本 9,该版本根本不受此问题的影响。
另外值得注意的是,本周思科开发人员修复了安全电子邮件网关 (SEG) 中的另一个严重漏洞,该漏洞允许添加具有 root 权限的新用户并禁用设备。
该问题被标识为 CVE-2024-20401 (CVSS 评分 9.8),是由于扫描电子邮件内容和过滤消息时任意文件写入和电子邮件附件处理不当造成的。
事实上,这个路径遍历错误允许它在任何操作系统文件中被替换。
该漏洞是由于启用文件扫描和内容过滤时对电子邮件附件的错误处理造成的。
开发人员写道,成功利用该漏洞可能允许攻击者替换文件系统中的任何文件。
然后,攻击者可以执行以下操作之一:添加具有 root 权限的用户、修改设备设置、执行任意代码,或在受影响的设备上造成永久拒绝服务 (DoS)。
如果 SEG 设备运行易受攻击的 Cisco AsyncOS 版本并且满足以下条件,则 CVE-2024-20401 会影响 SEG 设备:
启用文件扫描功能(思科高级恶意软件防护的一部分)或内容过滤功能并将其用于收件箱;
内容扫描工具的版本高达 23.3.0.4823。
该问题已在内容扫描工具版本 23.3.0.4823 及更高版本中修复。
默认情况下,更新版本包含在适用于思科安全电子邮件软件版本 15.5.1-055 及更高版本的 Cisco AsyncOS 中。