攻击者可以通过发送恶意电子邮件使Cisco电子邮件安全设备崩溃

Cisco发布了安全更新，包含三个影响其产品的漏洞，包括其电子邮件安全设备（ESA）中的一个高严重性漏洞，该漏洞可能导致受影响设备出现拒绝服务（DoS）情况。

该漏洞被指定为标识符CVE-2022-20653（CVSS分数：7.5），源于DNS名称解析中的错误处理不足，未经验证的远程攻击者可能会滥用该漏洞来发送精心编制的电子邮件并导致拒绝服务。

该公司在一份公告中表示：“成功利用该漏洞可能会使攻击者在一段时间内无法从管理界面访问该设备，或处理额外的电子邮件，直到该设备恢复，从而导致拒绝服务状态。”。“持续的攻击可能会导致设备完全不可用，从而导致持续的拒绝服务情况。”

该漏洞影响到运行Cisco AsyncOS软件的Cisco ESA设备，该软件运行14.0、13.5、13.0、12.5及更早版本，并启用了“DANE功能，且下游邮件服务器配置为发送跳转邮件”DANE是基于DNS的命名实体身份验证的缩写，用于出站邮件验证。

思科赞扬ICT服务提供商Rijksoverheid Dienst ICT Uitvoering（DICTU）的研究人员报告了该漏洞，同时指出没有发现任何恶意攻击的证据。

Separately, the networking equipment maker also addressed two other flaws in its Prime Infrastructure and Evolved Programmable Network Manager and Redundancy Configuration Manager that could enable an adversary to execute arbitrary code and cause a DoS condition –

• CVE-2022-20659（CVSS得分：6.1）和#8211；Cisco Prime Infrastructure和演化的可编程网络管理器跨站点脚本（XSS）漏洞
• CVE-2022-20750（CVSS得分：5.3）和#8211；针对Cisco StarOS软件的Cisco冗余配置管理器TCP拒绝服务（DoS）漏洞

几周前，思科发布了针对影响其RV系列路由器的多个关键安全漏洞的修补程序，其中一些路由器的CVSS严重性评分可能最高，为10分。这些修补程序可以被武器化，以提升权限，并在受影响的系统上执行任意代码。