- A+
远程攻击者只需发送电子邮件即可利用此漏洞。
思科在其电子邮件安全设备工具中修补了两个严重漏洞 - 一个是严重漏洞,另一个是严重漏洞。 这两个错误最终导致受影响设备上的拒绝服务(DoS) - 并且可以被简单发送电子邮件的攻击者利用。
总体而言,该公司周三发布了针对其产品漏洞的18个修复程序 ,其中包括一个严重错误,一个严重错误和一个中等严重错误。 其中最严重的一个关键漏洞(CVE-2018-15453)的CVSS评分为8.6,最终可能导致受影响设备的“永久性DoS”。
该问题存在于思科AsyncOS中,思科AsyncOS是思科电子邮件安全设备的软件,思科的安全平台可以防范基于电子邮件的威胁。 具体而言,该软件的安全/多用途Internet邮件扩展(S / MIME)中存在此漏洞,这是一种基于标准的方法,用于发送和接收安全,经过验证的电子邮件。
该漏洞是由于S / MIME签名电子邮件的输入验证不正确,存在于两个软件的S / MIME功能中:解密和验证启用功能以及公钥收集功能。
不正确的输入验证意味着攻击者可以以应用程序其余部分不期望的形式制作输入。 在这种情况下,当配置这两个S / MIME功能时,攻击者可以通过目标设备发送恶意S / MIME签名的电子邮件来利用此漏洞。
一旦这些S / MIME功能收到此意外输入,就会导致系统崩溃:“如果配置了解密和验证或公钥收集,则过滤进程可能会因内存损坏和重启而崩溃,从而导致DoS情况,”思科说。
更糟糕的是,该软件将尝试继续处理相同的S / MIME签名电子邮件,导致过滤进程崩溃并再次重新启动。
思科表示,“一次成功的攻击可能会让攻击者造成永久的DoS条件。” 此漏洞可能需要手动干预才能恢复电子邮件安全设备。
思科表示,最新版本的思科用于其邮件安全设备的AsyncOS软件目前是第12版 - 但是,这个最新版本没有受到影响。 该公司发布了一张图表,概述了哪些版本的AsyncOS受此漏洞影响(如下)。
与此同时,思科还修补了一个高严重性漏洞 (CVE-2018-15460),该漏洞的CVSS评分为8.6。 该漏洞也存在于AsyncOS中。
具体而言,故障源于软件的电子邮件消息过滤功能。 从本质上讲,该软件对包含对列入白名单的URL的引用的电子邮件进行了不正确的过滤。 列入白名单的URL是合作伙伴或供应商的可信网站,其网络邮件可能因防病毒,反间谍软件或反恶意软件策略而被阻止。
由于存在缺陷,未经身份验证的远程攻击者只需发送包含大量白名单URL的恶意电子邮件即可利用此漏洞。 然后,这导致受害者设备的CPU利用率增加到100%,导致所述受影响设备上的拒绝服务(DoS)状况,思科表示。
思科咨询公司称,“一次成功的攻击可能会让攻击者造成持续的DoS状况,从而迫使受影响的设备停止扫描和转发电子邮件。”
该公司表示,它不知道任何恶意使用这两个漏洞。
