聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞的编号是CVE-2024-20401,是位于 SEG 内容扫描和信息过滤特性中的任意文件写漏洞,由一个绝对路径遍历弱点引发,可导致攻击者替换底层操作系统上的任意文件。
思科解释称,“当启用文件分析和内容过滤器时,对邮件附件的处理不当引发该漏洞。成功利用该漏洞可使攻击者替换底层文件系统上的任何文件。随后,攻击者可执行如下任何操作:在受影响设备上以root 身份添加用户、修改设备配置、执行任意代码或引发永久性拒绝服务条件。”
如果SEG设备运行易受攻击的 Cisco AsyncOS 发布且满足如下条件,则受该漏洞影响:
-
文件分析特性(Cisco Advanced Malware Protection 的组成部分)或内容过滤器特性已启用并被分配到进站邮件策略。
-
内容扫描器工具 (Content Scanner Tools) 版本早于23.3.0.4823。
该漏洞的修复方案已通过“内容扫描器工具”包版本23.3.0.4823及后续版本发布。更新版本默认包含在 Cisco AsyncOS for Cisco Email Software 发布15.5.1-055及后续版本中。
要判断是否启用了文件分析,则需连接到产品 web 管理接口,在“邮件策略>进站邮件策略>高级恶意软件防护>邮件策略”,检查是否勾选了“启用文件分析”。
要查看是否启用了内容过滤器,打开产品 web 接口并检查“选择邮件策略>进站邮件策略>内容过滤器”下的“内容过滤器”栏中包含的内容是否禁用。
虽然因CVE-2024-20401遭成功利用后,易受攻击的 SEG 设备已永久下线,但思科建议客户联系技术协助中心通过手动干预重新上线。思科表示目前不存在任何应变措施,建议所有管理员更新易受攻击设备。思科产品安全事件响应团队并未发现漏洞遭利用的证据。本周三,思科还修复了一个满分漏洞,可导致攻击者修改Cisco SSM On-Prem 许可服务器上的任何用户(包括管理员)密码。
原文始发于微信公众号(代码卫士):思科严重漏洞可导致黑客在SEG设备上添加 root 用户
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论