【漏洞通告】Cisco Smart Software Manager On-Prem密碼更改漏洞(CVE-2024-20419)
發布時間 2024-07-18一、漏洞概述
漏洞名稱 | Cisco Smart Software Manager On-Prem密碼更改漏洞 | ||
CVE ID | CVE-2024-20419 | ||
漏洞類型 | 密碼更改 | 發現時間 | 2024-07-18 |
漏洞評分 | 10.0 | 漏洞等級 | 嚴重 |
攻擊向量 | 網絡 | 所需權限 | 無 |
利用難度 | 低 | 用戶交互 | 無 |
PoC/EXP | 未公開 | 在野利用 | 未發現 |
Cisco Smart Software Manager On Prem(SSM On Prem)是一種智能許可解決方案,使客戶能夠在其場所管理產品和許可證。Cisco Secure Email Gateway(SEG)是思科公司推出的一種電子郵件安全解決方案,旨在保護企業免受垃圾郵件、惡意軟件、網絡釣魚和其他基于電子郵件的威脅的侵害。
2024年7月18日,啟明星辰集團VSRC監測到Cisco發布安全公告,修復了SSM On Prem和SEG中的密碼更改漏洞和任意文件寫入漏洞,詳情如下:
CVE-2024-20419:Cisco SSM On-Prem密碼更改漏洞(嚴重)
由于密碼更改流程實施不當,Cisco Smart Software Manager On-Prem身份驗證系統中存在漏洞,未經身份驗證的遠程威脅者可通過向受影響的設備發送惡意設計的 HTTP 請求來利用該漏洞,從而更改任意用戶的密碼并可能導致以該用戶權限訪問Web UI 或 API,該漏洞的CVSS評分為10.0。
CVE-2024-20401:Cisco Secure Email Gateway任意文件寫入漏洞(嚴重)
由于在啟用文件分析和內容過濾器時對電子郵件附件的處理不當,Cisco Secure Email Gateway的內容掃描和消息過濾功能中存在漏洞,未經身份驗證的遠程威脅者可以通過向受影響的設備發送包含惡意附件的電子郵件來利用該漏洞,成功利用可能導致覆蓋底層系統上的任意文件,并可能執行創建具有root權限的用戶、修改設備配置、執行任意代碼或導致拒絕服務等未授權操作,該漏洞的CVSS評分為9.8。
二、影響范圍
CVE-2024-20419
Cisco SSM On-Prem / Cisco SSM Satellite 版本<= 8-202206
注:Cisco SSM On-Prem 和 Cisco SSM Satellite 是同一款產品。在 7.0 版之前的版本中,該產品被稱為 Cisco SSM Satellite,從 7.0 版開始,該產品被稱為 Cisco SSM On-Prem。
CVE-2024-20401
如果Cisco Secure Email Gateway運行的是存在漏洞的 Cisco AsyncOS 版本,且滿足以下兩個條件,則易受該漏洞影響:
l 啟用文件分析功能(思科高級惡意軟件防護AMP的一部分)或內容過濾功能,并將其分配給傳入郵件策略。
l Content Scanner Tools版本< 23.3.0.4823。
三、安全措施
3.1 升級版本
目前這些漏洞已經修復,受影響用戶可升級到以下版本:
Cisco SSM On-Prem >= 8-202212
Cisco AsyncOS for Cisco Secure Email Software >= 15.5.1-055
下載鏈接:
https://www.cisco.com/c/en/us/support/index.html
3.2 臨時措施
針對CVE-2024-20401,Content Scanner Tools 23.3.0.4823及更高版本包含該漏洞的修復程序,其默認包含在Cisco AsyncOS for Cisco Secure Email Software 15.5.1-055及更高版本中。
排查
l 確定是否啟用文件分析
1.連接到產品Web管理界面。
2.選擇Mail Policies > Incoming Mail Policies > Advanced Malware Protection
3.選擇郵件策略并檢查啟用文件分析的值,如果選中該框,則啟用文件分析。
l 確定是否啟用了內容過濾器
1.連接到產品 Web 界面。
2.選擇Mail Policies > Incoming Mail Policies > Content Filters,如果Content Filters列包含除Disabled之外的任何內容,則表示內容過濾器已啟用。
l 確定Content Scanner Tools版本
可使用contentscannerstatus CLI 命令查看內容掃描器工具版本,示例:
cisco-esa> contentscannerstatus
Component Version Last Updated
Content Scanner Tools 23.1.0.4619.13.0.1500022 Never updated
緩解
更新Content Scanner Tools不需要軟件升級或產品重啟,配置了自動Content Scanner Tools更新的用戶可能無需執行任何操作來修復該漏洞。
手動更新Content Scanner Tools,可使用CLI contentscannerupdate命令,示例:
cisco-esa> contentscannerupdate
Requesting check for new Content Scanner updates.
3.3 通用建議
l 定期更新系統補丁,減少系統漏洞,提升服務器的安全性。
l 加強系統和網絡的訪問控制,修改防火墻策略,關閉非必要的應用端口或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。
l 使用企業級安全產品,提升企業的網絡安全性能。
l 加強系統用戶和權限管理,啟用多因素認證機制和最小權限原則,用戶和軟件權限應保持在最低限度。
l 啟用強密碼策略并設置為定期修改。
3.4 參考鏈接
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cssm-auth-sLw3uhUy
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-esa-afw-bGG2UsjH
四、版本信息
版本 | 日期 | 備注 |
V1.0 | 2024-07-18 | 首次發布 |
五、附錄
5.1 公司簡介
啟明星辰成立于1996年,是由留美博士嚴望佳女士創建的、擁有完全自主知識產權的信息安全高科技企業。是國內最具實力的信息安全產品、安全服務解決方案的領航企業之一。
公司總部位于北京市中關村軟件園啟明星辰大廈,公司員工6000余人,研發團隊1200余人, 技術服務團隊1300余人。在全國各省、市、自治區設立分支機構六十多個,擁有覆蓋全國的銷售體系、渠道體系和技術支持體系。公司于2010年6月23日在深圳中小板掛牌上市。(股票代碼:002439)
多年來,啟明星辰致力于提供具有國際競爭力的自主創新的安全產品和最佳實踐服務,幫助客戶全面提升其IT基礎設施的安全性和生產效能,為打造和提升國際化的民族信息安全產業領軍品牌而不懈努力。
5.2 關于我們
啟明星辰安全應急響應中心已發布1000多個漏洞通告和風險預警,我們將持續跟蹤全球最新的網絡安全事件和漏洞,為企業的信息安全保駕護航。
關注我們: