聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
思科修复了一个严重漏洞,可导致攻击者以 root 权限增加新用户并通过带有恶意附件的邮件使安全邮件网关 (SEG) 设备永久崩溃。
该漏洞的编号是CVE-2024-20401,是位于 SEG 内容扫描和信息过滤特性中的任意文件写漏洞,由一个绝对路径遍历弱点引发,可导致攻击者替换底层操作系统上的任意文件。
思科解释称,“当启用文件分析和内容过滤器时,对邮件附件的处理不当引发该漏洞。成功利用该漏洞可使攻击者替换底层文件系统上的任何文件。随后,攻击者可执行如下任何操作:在受影响设备上以root 身份添加用户、修改设备配置、执行任意代码或引发永久性拒绝服务条件。”
如果SEG设备运行易受攻击的 Cisco AsyncOS 发布且满足如下条件,则受该漏洞影响:
文件分析特性(Cisco Advanced Malware Protection 的组成部分)或内容过滤器特性已启用并被分配到进站邮件策略。
内容扫描器工具 (Content Scanner Tools) 版本早于23.3.0.4823。
该漏洞的修复方案已通过“内容扫描器工具”包版本23.3.0.4823及后续版本发布。更新版本默认包含在 Cisco AsyncOS for Cisco Email Software 发布15.5.1-055及后续版本中。
如何找到易受攻击设备
要判断是否启用了文件分析,则需连接到产品 web 管理接口,在“邮件策略>进站邮件策略>高级恶意软件防护>邮件策略”,检查是否勾选了“启用文件分析”。
要查看是否启用了内容过滤器,打开产品 web 接口并检查“选择邮件策略>进站邮件策略>内容过滤器”下的“内容过滤器”栏中包含的内容是否禁用。
虽然因CVE-2024-20401遭成功利用后,易受攻击的 SEG 设备已永久下线,但思科建议客户联系技术协助中心通过手动干预重新上线。思科表示目前不存在任何应变措施,建议所有管理员更新易受攻击设备。思科产品安全事件响应团队并未发现漏洞遭利用的证据。本周三,思科还修复了一个满分漏洞,可导致攻击者修改Cisco SSM On-Prem 许可服务器上的任何用户(包括管理员)密码。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
思科提醒注意Small Business路由器中的XSS漏洞
原文链接
https://www.bleepingcomputer.com/news/security/critical-cisco-bug-lets-hackers-add-root-users-on-seg-devices/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~