思科严重漏洞可导致黑客在SEG设备上添加 root 用户
2024-7-19 18:20:2 Author: mp.weixin.qq.com(查看原文) 阅读量:10 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

思科修复了一个严重漏洞,可导致攻击者以 root 权限增加新用户并通过带有恶意附件的邮件使安全邮件网关 (SEG) 设备永久崩溃。

该漏洞的编号是CVE-2024-20401,是位于 SEG 内容扫描和信息过滤特性中的任意文件写漏洞,由一个绝对路径遍历弱点引发,可导致攻击者替换底层操作系统上的任意文件。

思科解释称,“当启用文件分析和内容过滤器时,对邮件附件的处理不当引发该漏洞。成功利用该漏洞可使攻击者替换底层文件系统上的任何文件。随后,攻击者可执行如下任何操作:在受影响设备上以root 身份添加用户、修改设备配置、执行任意代码或引发永久性拒绝服务条件。”

如果SEG设备运行易受攻击的 Cisco AsyncOS 发布且满足如下条件,则受该漏洞影响:

  • 文件分析特性(Cisco Advanced Malware Protection 的组成部分)或内容过滤器特性已启用并被分配到进站邮件策略。

  • 内容扫描器工具 (Content Scanner Tools) 版本早于23.3.0.4823。

该漏洞的修复方案已通过“内容扫描器工具”包版本23.3.0.4823及后续版本发布。更新版本默认包含在 Cisco AsyncOS for Cisco Email Software 发布15.5.1-055及后续版本中。

如何找到易受攻击设备

要判断是否启用了文件分析,则需连接到产品 web 管理接口,在“邮件策略>进站邮件策略>高级恶意软件防护>邮件策略”,检查是否勾选了“启用文件分析”。

要查看是否启用了内容过滤器,打开产品 web 接口并检查“选择邮件策略>进站邮件策略>内容过滤器”下的“内容过滤器”栏中包含的内容是否禁用。

虽然因CVE-2024-20401遭成功利用后,易受攻击的 SEG 设备已永久下线,但思科建议客户联系技术协助中心通过手动干预重新上线。思科表示目前不存在任何应变措施,建议所有管理员更新易受攻击设备。思科产品安全事件响应团队并未发现漏洞遭利用的证据。本周三,思科还修复了一个满分漏洞,可导致攻击者修改Cisco SSM On-Prem 许可服务器上的任何用户(包括管理员)密码。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

思科 SSM 本地漏洞可用于修改任意用户的密码

德国政府会议信息遭泄露,思科修复 Webex 漏洞

国家黑客组织利用思科两个0day攻击政府网络

思科修复IMC 高危根提权漏洞

思科提醒注意Small Business路由器中的XSS漏洞

原文链接

https://www.bleepingcomputer.com/news/security/critical-cisco-bug-lets-hackers-add-root-users-on-seg-devices/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247520104&idx=2&sn=7a044b182ec50064eba8b67fb588a968&chksm=ea94be02dde33714a87ec047348cf4004a40a24f05ca079479dd287aec723a3790919198933e&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh