思科严重漏洞可导致黑客在SEG设备上添加 root 用户

5a8bc7626e1c5299c81499d9d9044920.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

思科修复了一个严重漏洞,可导致攻击者以 root 权限增加新用户并通过带有恶意附件的邮件使安全邮件网关 (SEG) 设备永久崩溃。

该漏洞的编号是CVE-2024-20401,是位于 SEG 内容扫描和信息过滤特性中的任意文件写漏洞,由一个绝对路径遍历弱点引发,可导致攻击者替换底层操作系统上的任意文件。

思科解释称,“当启用文件分析和内容过滤器时,对邮件附件的处理不当引发该漏洞。成功利用该漏洞可使攻击者替换底层文件系统上的任何文件。随后,攻击者可执行如下任何操作:在受影响设备上以root 身份添加用户、修改设备配置、执行任意代码或引发永久性拒绝服务条件。”

如果SEG设备运行易受攻击的 Cisco AsyncOS 发布且满足如下条件,则受该漏洞影响:

  • 文件分析特性(Cisco Advanced Malware Protection 的组成部分)或内容过滤器特性已启用并被分配到进站邮件策略。

  • 内容扫描器工具 (Content Scanner Tools) 版本早于23.3.0.4823。

该漏洞的修复方案已通过“内容扫描器工具”包版本23.3.0.4823及后续版本发布。更新版本默认包含在 Cisco AsyncOS for Cisco Email Software 发布15.5.1-055及后续版本中。

975dfaec34c3f59632a8779a59abe65f.gif

如何找到易受攻击设备

30ee80cc239ad249c7dcedaaa4592604.gif

要判断是否启用了文件分析,则需连接到产品 web 管理接口,在“邮件策略>进站邮件策略>高级恶意软件防护>邮件策略”,检查是否勾选了“启用文件分析”。

要查看是否启用了内容过滤器,打开产品 web 接口并检查“选择邮件策略>进站邮件策略>内容过滤器”下的“内容过滤器”栏中包含的内容是否禁用。

虽然因CVE-2024-20401遭成功利用后,易受攻击的 SEG 设备已永久下线,但思科建议客户联系技术协助中心通过手动干预重新上线。思科表示目前不存在任何应变措施,建议所有管理员更新易受攻击设备。思科产品安全事件响应团队并未发现漏洞遭利用的证据。本周三,思科还修复了一个满分漏洞,可导致攻击者修改Cisco SSM On-Prem 许可服务器上的任何用户(包括管理员)密码。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com


推荐阅读

思科 SSM 本地漏洞可用于修改任意用户的密码

德国政府会议信息遭泄露,思科修复 Webex 漏洞

国家黑客组织利用思科两个0day攻击政府网络

思科修复IMC 高危根提权漏洞

思科提醒注意Small Business路由器中的XSS漏洞

原文链接

https://www.bleepingcomputer.com/news/security/critical-cisco-bug-lets-hackers-add-root-users-on-seg-devices/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

109572c27be4a856c1938874778bc4a8.jpeg

8f713de49765b2878a06ba727097ce37.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   35a8d6e43d5acadef912bd2f64956f2c.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值