思科修复安全电子邮件网关中的一个严重漏洞，漏洞允许添加 ROOT 用户

思科修复了一个严重漏洞，编号为 CVE-2024-20401（CVSS 评分 9.8），该漏洞可能允许未经身份验证的远程攻击者添加具有 root 权限的新用户并永久破坏安全电子邮件网关 (SEG) 设备。

该缺陷存在于思科安全电子邮件网关的内容扫描和消息过滤功能中。

此漏洞源于在启用文件分析和内容过滤器时对电子邮件附件的处理不当。攻击者可以通过发送特制的电子邮件附件来利用此漏洞，从而替换文件系统上的任何文件。这可以使他们添加 root 用户、修改配置、执行任意代码或在受影响的设备上触发永久拒绝服务 (DoS) 条件。

思科发布的公告称：“思科安全电子邮件网关的内容扫描和消息过滤功能中存在一个漏洞，可能允许未经身份验证的远程攻击者覆盖底层操作系统上的任意文件。”

此漏洞是由于在启用文件分析和内容过滤器时对电子邮件附件的处理不当造成的。攻击者可以通过受影响的设备发送包含精心设计的附件的电子邮件来利用此漏洞。

成功利用此漏洞可让攻击者替换底层文件系统上的任何文件。然后，攻击者可以执行以下任何操作：添加具有 root 权限的用户、修改设备配置、执行任意代码或在受影响的设备上造成永久拒绝服务 (DoS) 条件。

如果启用了文件分析功能（思科高级恶意软件防护的一部分）或内容过滤功能并将其分配给传入邮件策略，并且内容扫描工具版本早于 23.3.0.4823，则此漏洞会影响运行存在漏洞的 Cisco AsyncOS 版本的思科安全电子邮件网关。

内容扫描工具版本 23.3.0.4823 及更高版本解决了此漏洞。此更新版本也是 Cisco AsyncOS for Cisco Secure Email Software 版本 15.5.1-055 及更高版本的一部分。

用户可以通过连接产品网页管理界面（“邮件策略 > 传入邮件策略 > 高级恶意软件防护 > 邮件策略”），检查“启用文件分析”选项是否被选中来确定是否启用了文件分析。

要确定内容过滤器是否启用，用户可以打开产品 Web 界面并检查“内容过滤器”列（“选择邮件策略 > 传入邮件策略 > 内容过滤器”）是否不包含值“已禁用”。

该公司的产品安全事件响应团队 (PSIRT) 尚未发现针对 CVE-2024-20401 漏洞的攻击尝试。

本周，这家 IT 巨头解决了思科智能软件管理器 On-Prem（Cisco SSM On-Prem）许可证服务器中的一个严重漏洞，该漏洞编号为 CVE-2024-20419（CVSS 评分为 10.0），攻击者可以利用该漏洞更改任何用户的密码。

此问题是由于密码更改流程实施不当造成的。攻击者可以通过向易受攻击的设备发送特制的 HTTP 请求来触发此漏洞。

转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/oVbtQrcfWffkW70c7f_kow