Cisco, E-posta Güvenlik Uygulamasında (ESA) etkilenen bir cihazda hizmet reddi (DoS) durumuna neden olabilecek yüksek önemdeki bir kusur da dahil olmak üzere ürünlerini etkileyen üç güvenlik açığını içerecek güvenlik güncellemeleri yayınladı.
CVE-2022-20653 tanımlayıcısı (CVSS puanı: 7.5) atanan zayıflık, DNS Kimliği doğrulanmamış, uzaktaki bir saldırgan tarafından özel hazırlanmış bir e-posta iletisi göndermek ve bir DoS’a neden olmak için kötüye kullanılabilecek ad çözümlemesi.
Şirket, “Başarılı bir güvenlik açığı, saldırganın, cihazın yönetim arayüzlerinden erişilemez hale gelmesine veya cihaz iyileşene kadar bir süre ek e-posta iletilerini işlemesine ve bir DoS durumuna yol açmasına neden olabilir” dedi. dedim bir danışma belgesinde. “Devam eden saldırılar, cihazın tamamen kullanılamaz hale gelmesine neden olarak kalıcı bir DoS durumuna neden olabilir.”
Kusur, 14.0, 13.5, 13.0, 12.5 ve önceki sürümlerini çalıştıran Cisco AsyncOS Yazılımını çalıştıran ve “DANE özelliği etkin ve aşağı akış posta sunucuları geri dönen iletiler göndermek üzere yapılandırılmış” olan Cisco ESA cihazlarını etkiler. Danimarka giden posta doğrulaması için kullanılan Adlandırılmış Varlıkların DNS Tabanlı Kimlik Doğrulaması’nın kısaltmasıdır.
Cisco, ICT servis sağlayıcısı Rijksoverheid Dienst ICT Uitvoering’den (DICTU) araştırmacıları, güvenlik açığını bildirdikleri için ödüllendirirken, herhangi bir kötü niyetli istismar kanıtı bulunmadığına dikkat çekti.
Ayrı olarak, ağ ekipmanı üreticisi, bir saldırganın rastgele kod yürütmesine ve bir DoS durumuna neden olmasına olanak sağlayabilecek Prime Altyapısı ve Gelişmiş Programlanabilir Ağ Yöneticisi ve Yedeklilik Yapılandırma Yöneticisi’ndeki diğer iki kusuru da ele aldı –
- CVE-2022-20659 (CVSS puanı: 6.1) – Cisco Prime Altyapısı ve Gelişmiş Programlanabilir Ağ Yöneticisi siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı
- CVE-2022-20750 (CVSS puanı: 5.3) – Cisco StarOS Yazılımı için Cisco Redundancy Configuration Manager TCP hizmet reddi (DoS) güvenlik açığı
Düzeltmeler ayrıca, Cisco’nun RV Serisi yönlendiricilerini etkileyen, bazıları ayrıcalıkları yükseltmek ve etkilenen sistemlerde rastgele kod yürütmek için silah olarak kullanılabilecek, olası en yüksek CVSS önem derecesi puanı olan 10’u alan birden fazla kritik güvenlik açığı için yamalar yayınlamasından haftalar sonra gelir.
