该漏洞的编号是CVE-2024-20401，是位于 SEG 内容扫描和信息过滤特性中的任意文件写漏洞，由一个绝对路径遍历弱点引发，可导致攻击者替换底层操作系统上的任意文件。

思科解释称，“当启用文件分析和内容过滤器时，对邮件附件的处理不当引发该漏洞。成功利用该漏洞可使攻击者替换底层文件系统上的任何文件。随后，攻击者可执行如下任何操作：在受影响设备上以root 身份添加用户、修改设备配置、执行任意代码或引发永久性拒绝服务条件。”

如果SEG设备运行易受攻击的 Cisco AsyncOS 发布且满足如下条件，则受该漏洞影响：

该漏洞的修复方案已通过“内容扫描器工具”包版本23.3.0.4823及后续版本发布。更新版本默认包含在 Cisco AsyncOS for Cisco Email Software 发布15.5.1-055及后续版本中。

如何找到易受攻击设备

要判断是否启用了文件分析，则需连接到产品 web 管理接口，在“邮件策略＞进站邮件策略＞高级恶意软件防护＞邮件策略”，检查是否勾选了“启用文件分析”。

要查看是否启用了内容过滤器，打开产品 web 接口并检查“选择邮件策略＞进站邮件策略＞内容过滤器”下的“内容过滤器”栏中包含的内容是否禁用。

虽然因CVE-2024-20401遭成功利用后，易受攻击的 SEG 设备已永久下线，但思科建议客户联系技术协助中心通过手动干预重新上线。思科表示目前不存在任何应变措施，建议所有管理员更新易受攻击设备。思科产品安全事件响应团队并未发现漏洞遭利用的证据。本周三，思科还修复了一个满分漏洞，可导致攻击者修改Cisco SSM On-Prem 许可服务器上的任何用户（包括管理员）密码。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~