🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 UBND thị trấn Quốc Oai, Hà Nội đã đăng ký tín nhiệm. 🔥                    🔥 UBND xã Sài Sơn, Hà Nội đã đăng ký tín nhiệm. 🔥                    🔥 UBND xã Phượng Cách, Hà Nội đã đăng ký tín nhiệm. 🔥                   
Đăng ký ngay

Lỗ hổng Cisco nghiêm trọng cho phép tin tặc thêm người dùng root vào các thiết bị SEG

19/07/2024

Cisco đã khắc phục một lỗ hổng nghiêm trọng cho phép kẻ tấn công thêm người dùng mới có quyền root và làm ngoại tuyến các thiết bị Security Email Gateway (SEG) bằng cách sử dụng email có tệp đính kèm độc hại.

Có định danh CVE-2024-20401, lỗ hổng liên quan đến vấn đề ghi tệp tùy ý trong tính năng quét nội dung (content scanning) và lọc tin nhắn của SEG gây ra bởi điểm yếu trong việc duyệt đường dẫn tuyệt đối.

"Lỗ hổng phát sinh do việc xử lý không đúng cách các tệp đính kèm email khi bật chức năng phân tích tệp và bộ lọc nội dung. Việc khai thác thành công có thể cho phép kẻ tấn công thay thế bất kỳ tệp nào trong hệ thống tệp", Cisco giải thích.

"Kẻ tấn công sau đó có thể thêm người dùng có quyền root, sửa đổi cấu hình thiết bị, thực thi mã tùy ý hoặc gây ra tình trạng từ chối dịch vụ (DoS) vĩnh viễn trên thiết bị bị ảnh hưởng."

CVE-2024-20401 ảnh hưởng đến các thiết bị SEG đang chạy bản phát hành Cisco AsyncOS dễ bị tấn công và đáp ứng các điều kiện sau:

- Tính năng phân tích tệp (một phần của Cisco Advanced Malware Protection) hoặc tính năng lọc nội dung được bật và gán cho chính sách thư đến.

- Phiên bản Content Scanner Tools cũ hơn 23.3.0.4823

Bản vá cho lỗ hổng được cung cấp cho các thiết bị bị ảnh hưởng trong phiên bản Content Scanner Tools từ 23.3.0.4823 trở lên. Phiên bản cập nhật được bao gồm theo mặc định trong Cisco AsyncOS dành cho phần mềm Cisco Secure Email từ bản phát hành 15.5.1-055 trở lên.

Xác định các thiết bị bị ảnh hưởng

Để xác định xem tính năng phân tích tệp có được bật hay không, hãy kết nối với giao diện quản lý web của sản phẩm, đi tới Mail Policies (Chính sách thư) > Incoming Mail Policies (Chính sách thư đến) > Advanced Malware Protection (Bảo vệ phần mềm độc hại nâng cao) > Mail Policy (Chính sách thư)" và kiểm tra xem tùy chọn " Enable File Analysis (Bật phân tích tệp) đã được chọn chưa.

Để biết bộ lọc nội dung có được bật hay không, hãy mở giao diện web của sản phẩm và kiểm tra xem cột Content Filters (Bộ lọc nội dung) trong mục Choose Mail Policies (Chọn chính sách thư) > Incoming Mail Policies (Chính sách thư đến) > Content Filters (Bộ lọc nội dung) có chứa mục nào khác ngoài mục Disabled (đã tắt) không.

Trong khi các thiết bị SEG dễ bị tấn công sẽ gặp tình trạng ngoại tuyến vĩnh viễn sau các cuộc tấn công CVE-2024-20401 thành công, Cisco khuyến nghị khách hàng nên liên hệ với Trung tâm hỗ trợ kỹ thuật (TAC) để đưa chúng trở lại trực tuyến, việc này sẽ yêu cầu can thiệp thủ công.

Cisco cho biết thêm rằng không có giải pháp thay thế nào cho các thiết bị bị ảnh hưởng bởi lỗ hổng bảo mật này và khuyên tất cả quản trị viên nên cập nhật các thiết bị dễ bị tấn công để bảo vệ chúng khỏi các cuộc tấn công.

Nhóm ứng phó sự cố bảo mật sản phẩm (PSIRT) của công ty chưa phát hiện bất kỳ bằng chứng công khai nào về việc khai thác hoặc nỗ lực khai thác nhắm vào lỗ hổng CVE-2024-20401.

Vào thứ Tư, Cisco cũng đã khắc phục một lỗi đặc biệt nghiêm trọng cho phép kẻ tấn công thay đổi bất kỳ mật khẩu người dùng nào trên các máy chủ được cấp phép Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) chưa được vá, bao gồm cả quản trị viên.

Nguồn: bleepingcomputer.com.

scrolltop