近日，思科發(fā)布安全更新以修復(fù)影響其產(chǎn)品的3個安全漏洞，其中一個高危漏洞將導(dǎo)致其電子郵件安全設(shè)備（ESA）出現(xiàn)被DoS攻擊而崩潰的風(fēng)險。

根據(jù)網(wǎng)絡(luò)安全行業(yè)門戶「極牛網(wǎng)」GEEKNB.COM的梳理，該漏洞號為 CVE-2022-20653（CVSS 評分：7.5），源于DNS名稱解析中錯誤處理不足的情況，未經(jīng)身份驗證的遠程攻擊者可能濫用該漏洞發(fā)送特制電子郵件并導(dǎo)致DOS拒絕服務(wù)攻擊。

思科在公告中表示，成功利用該漏洞可以導(dǎo)致設(shè)備無法從管理界面訪問，或者大量的郵件堆積需要一段時間處理完后設(shè)備才能恢復(fù)，持續(xù)的攻擊可以導(dǎo)致設(shè)備完全不可用，實現(xiàn)對郵件系統(tǒng)的DoS攻擊。

該漏洞影響運行 Cisco AsyncOS 軟件的 Cisco ESA 設(shè)備，該軟件運行版本 14.0、13.5、13.0、12.5 和更早版本，并且啟用了 DANE 功能并配置了下游郵件服務(wù)器以發(fā)送退回郵件。根據(jù)網(wǎng)絡(luò)安全行業(yè)門戶「極牛網(wǎng)」GEEKNB.COM的梳理，DANE是基于 DNS 的命名實體身份驗證的縮寫，用于出站郵件驗證。

另外，本次安全更新思科還解決了其 Prime 基礎(chǔ)設(shè)施和可編程網(wǎng)絡(luò)管理器和冗余配置管理器中的另外2個漏洞，這些漏洞可以使黑客能夠執(zhí)行任意代碼：

• CVE-2022-20659（CVSS 評分：6.1）– Cisco Prime 基礎(chǔ)設(shè)施和可編程網(wǎng)絡(luò)管理器跨站點腳本 (XSS) 漏洞；
• CVE-2022-20750（CVSS 評分：5.3）– Cisco StarOS 軟件 TCP 拒絕服務(wù) (DoS) 漏洞；

幾周前，思科發(fā)布了影響其 RV 系列路由器的多個關(guān)鍵安全漏洞的補丁程序，其中一些的CVSS嚴重性評分居然達到了最高的10分，這些漏洞可能被武器化以提升權(quán)限并在受影響的系統(tǒng)上執(zhí)行任意代碼。