思科最近修复了一个严重的漏洞,该漏洞被编号为 CVE-2024-20401。这个漏洞允许攻击者通过电子邮件中的恶意附件永久崩溃安全邮件网关(SEG)设备,并添加具有 root 权限的新用户。这一漏洞源自 SEG 内容扫描和消息过滤功能中的任意文件写入安全漏洞,由绝对路径遍历弱点导致,攻击者可以替换底层操作系统上的任何文件。
漏洞详情
思科解释道:“此漏洞是由于在启用文件分析和内容过滤器时对电子邮件附件的处理不当造成的。成功利用此漏洞可让攻击者替换底层文件系统上的任何文件。”这意味着攻击者可以执行以下任何操作:
- 添加具有 root 权限的用户
- 修改设备配置
- 执行任意代码
- 导致设备永久拒绝服务(DoS)条件
受影响的设备
如果 SEG 设备运行的是易受攻击的 Cisco AsyncOS 版本且满足以下条件,则 CVE-2024-20401 将对其造成影响:
- 文件分析功能(思科高级恶意软件防护的一部分)或内容过滤功能已启用并分配给传入邮件策略。
- 内容扫描器工具版本低于 23.3.0.4823。
受影响的设备已通过内容扫描器工具包版本 23.3.0.4823 及更高版本修复了此漏洞。更新后的版本默认包含在 Cisco AsyncOS for Cisco Secure Email Software 版本 15.5.1-055 及更高版本中。
如何检查设备是否易受攻击
要确定是否启用了文件分析,请连接到产品 Web 管理界面,转到“邮件策略 > 传入邮件策略 > 高级恶意软件防护 > 邮件策略”,并检查是否选中“启用文件分析”。
要查看内容过滤器是否已启用,请打开产品 Web 界面并检查“选择邮件策略 > 传入邮件策略 > 内容过滤器”下的“内容过滤器”列是否包含除禁用之外的任何内容。
修复与建议
尽管在成功发起 CVE-2024-20401 攻击后,易受攻击的 SEG 设备将永久脱机,但思科建议客户联系其技术援助中心(TAC)以使其重新上线,这将需要人工干预。思科补充说,对于受此安全漏洞影响的设备,目前还没有其他解决方法,并建议所有管理员更新易受攻击的设备,以防止攻击。
该公司的产品安全事件响应团队(PSIRT)尚未发现针对 CVE-2024-20401 漏洞的公开概念验证漏洞或利用尝试的证据。
此外,思科还修复了一个最高严重性漏洞,该漏洞允许攻击者更改未修补的思科智能软件管理器本地(Cisco SSM On-Prem)许可证服务器上的任何用户密码,包括管理员。
结论
思科对 CVE-2024-20401 漏洞的迅速响应和修复强调了定期更新和修补系统的重要性。管理员应立即检查并更新其系统,以确保其设备的安全性。
