思科邮件安全设备曝重大漏洞，可通过恶意邮件导致设备崩溃

近日，思科发布安全更新以修复影响其产品的3个安全漏洞，其中一个高危漏洞将导致其电子邮件安全设备（ESA）出现被DoS攻击而崩溃的风险。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，该漏洞号为 CVE-2022-20653（CVSS 评分：7.5），源于DNS名称解析中错误处理不足的情况，未经身份验证的远程攻击者可能滥用该漏洞发送特制电子邮件并导致DOS拒绝服务攻击。

思科在公告中表示，成功利用该漏洞可以导致设备无法从管理界面访问，或者大量的邮件堆积需要一段时间处理完后设备才能恢复，持续的攻击可以导致设备完全不可用，实现对邮件系统的DoS攻击。

该漏洞影响运行 Cisco AsyncOS 软件的 Cisco ESA 设备，该软件运行版本 14.0、13.5、13.0、12.5 和更早版本，并且启用了 DANE 功能并配置了下游邮件服务器以发送退回邮件。根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，DANE是基于 DNS 的命名实体身份验证的缩写，用于出站邮件验证。

另外，本次安全更新思科还解决了其 Prime 基础设施和可编程网络管理器和冗余配置管理器中的另外2个漏洞，这些漏洞可以使黑客能够执行任意代码：

• CVE-2022-20659（CVSS 评分：6.1）– Cisco Prime 基础设施和可编程网络管理器跨站点脚本 (XSS) 漏洞；
• CVE-2022-20750（CVSS 评分：5.3）– Cisco StarOS 软件 TCP 拒绝服务 (DoS) 漏洞；

几周前，思科发布了影响其 RV 系列路由器的多个关键安全漏洞的补丁程序，其中一些的CVSS严重性评分居然达到了最高的10分，这些漏洞可能被武器化以提升权限并在受影响的系统上执行任意代码。