吳明宜思科本周發佈安全公告,修補一個影響本機端部署的 Smart Software Manager (Cisco SSM On-Prem),可讓遠端未授權攻擊者變更任何用戶資料,包括管理員密碼的重大漏洞。
Smart Software Manager 是用以管理企業內的思科軟體授權的元件,方便用戶一覽採購現狀及規劃。這個編號 CVE-2024-20419 的漏洞,風險值來到滿分的 10.0 。漏洞出在密碼變更行程的不當實作,攻擊者可以傳送惡意 HTTP 呼叫給有漏洞的裝置加以濫用。成功濫用可讓攻擊者取得用戶權限存取網頁 UI 或 API,變更任何 SSM On-Prem 上的用戶密碼。
這項漏洞影響了 Cisco SSM On-Prem 8-202206 以前版本的軟體,思科已經發佈 8-202212 版修補。版本 9 就不受影響了。
思科表示,本漏洞問題除了安裝軟體更新外沒有權宜自保之道,不過,目前他們也沒有收到惡意濫用的活動通報。本漏洞是由資安研究人員 Mohammed Adel 發現並通報。
思科另外也修補了個檔案寫入漏洞,它是位於郵件閘道 Secure Email Gateway,編號 CVE-2-24-20401, CVSS 分數達 9.8 。
這漏洞能讓攻擊者從受害裝置上發送帶有惡意附件的郵件。成功的攻擊能讓攻擊者替換底層檔案系統旳任何檔案。攻擊者接下來可以建立具根權限的新使用者、或修改裝置組態、執行任意程式碼、或造成閘道裝置永久的阻斷服務 (DoS) 狀態而無法運作。
用戶的閘道裝置如果執行 Cisco AsyncOS,且滿足以下二條件,就會受漏洞影響。兩個條件一是啟動了檔案分析或內容過濾功能,且套用於接收信件的政策,二是內容過濾工具 (Content Scanner Tool) 為 23.3.0.4823 版本以前。
CVE-2024-20401 修補程式已包含內容過濾工具 23.3.0.4823 以後版本中,也會包含在 Cisco Secure Email Software 專用 Cisco AsyncOS 15.5.1-055 以後版本中。