思科郵件安全設(shè)備曝重大漏洞，可通過(guò)惡意郵件導(dǎo)致設(shè)備崩潰（思科郵件門）

近日，思科發(fā)布安全更新以修復(fù)影響其產(chǎn)品的3個(gè)安全漏洞，其中一個(gè)高危漏洞將導(dǎo)致其電子郵件安全設(shè)備（ESA）出現(xiàn)被DoS攻擊而崩潰的風(fēng)險(xiǎn)。

根據(jù)網(wǎng)絡(luò)安全行業(yè)門戶「極牛網(wǎng)」GEEKNB.COM的梳理，該漏洞號(hào)為 CVE-2022-20653（CVSS 評(píng)分：7.5），源于DNS名稱解析中錯(cuò)誤處理不足的情況，未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可能濫用該漏洞發(fā)送特制電子郵件并導(dǎo)致DOS拒絕服務(wù)攻擊。

思科在公告中表示，成功利用該漏洞可以導(dǎo)致設(shè)備無(wú)法從管理界面訪問(wèn)，或者大量的郵件堆積需要一段時(shí)間處理完后設(shè)備才能恢復(fù)，持續(xù)的攻擊可以導(dǎo)致設(shè)備完全不可用，實(shí)現(xiàn)對(duì)郵件系統(tǒng)的DoS攻擊。

該漏洞影響運(yùn)行 Cisco AsyncOS 軟件的 Cisco ESA 設(shè)備，該軟件運(yùn)行版本 14.0、13.5、13.0、12.5 和更早版本，并且啟用了 DANE 功能并配置了下游郵件服務(wù)器以發(fā)送退回郵件。根據(jù)網(wǎng)絡(luò)安全行業(yè)門戶「極牛網(wǎng)」GEEKNB.COM的梳理，DANE是基于 DNS 的命名實(shí)體身份驗(yàn)證的縮寫，用于出站郵件驗(yàn)證。

另外，本次安全更新思科還解決了其 Prime 基礎(chǔ)設(shè)施和可編程網(wǎng)絡(luò)管理器和冗余配置管理器中的另外2個(gè)漏洞，這些漏洞可以使黑客能夠執(zhí)行任意代碼：

• CVE-2022-20659（CVSS 評(píng)分：6.1）– Cisco Prime 基礎(chǔ)設(shè)施和可編程網(wǎng)絡(luò)管理器跨站點(diǎn)腳本 (XSS) 漏洞；
• CVE-2022-20750（CVSS 評(píng)分：5.3）– Cisco StarOS 軟件 TCP 拒絕服務(wù) (DoS) 漏洞；

幾周前，思科發(fā)布了影響其 RV 系列路由器的多個(gè)關(guān)鍵安全漏洞的補(bǔ)丁程序，其中一些的CVSS嚴(yán)重性評(píng)分居然達(dá)到了最高的10分，這些漏洞可能被武器化以提升權(quán)限并在受影響的系統(tǒng)上執(zhí)行任意代碼。