Lỗ hổng định danh CVE-2022-20653 (điểm CVSS: 7.5), được phát hiện trong tính năng DNS-based Authentication of Named Entities (DANE) là một thành phần của Cisco AsyncOS Software dành cho ESA, sử dụng để kiểm tra email và tìm kiếm spam, phishing, mã độc hay các mối đe dọa khác. Được biết, lỗ hổng này có thể được khai thác từ xa mà không cần xác thực.
Các nhà nghiên cứu bảo mật tới từ nhà cung cấp dịch vụ Rijksoverheid Dienst ICT Uitvoering (DICTU) của Hà Lan đã phát hiện ra lỗi này và đã báo cáo lỗ hổng bảo mật cho Cisco xử lý.
Cisco cho biết lỗ hổng bắt nguồn từ việc xử lý lỗi không chính xác trong quá trình phân giải tên DNS (Domain Name System). “Tin tặc có thể khai thác lỗ hổng này bằng cách gửi các email có thiết kế đặc biệt tới thiết bị bị ảnh hưởng”, Cisco giải thích.
“Việc khai thác thành công lỗ hổng có thể cho phép tin tặc điều khiển thiết bị, ngăn người dùng truy cập từ các giao diện quản lý hoặc xử lý các email bổ sung trong một khoảng thời gian cho đến khi thiết bị được phục hồi, dẫn đến tình trạng DoS. Đặc biệt, để mọi thứ trở nên nghiêm trọng hơn, các cuộc tấn công dai dẳng có thể làm cho thiết bị hoàn toàn không khả dụng và sẵn sàng, dẫn đến tình trạng DoS liên tục”.
Nhóm ứng phó sự cố về bảo mật sản phẩm của Cisco (PSIRT) cho biết họ không tìm thấy bằng chứng về việc lỗ hổng bị khai thác trên thực tế.
Tính năng DANE không được bật theo mặc định
CVE-2022-20653 chỉ ảnh hướng đến các thiết bị đã bật tính năng DANE và các máy chủ mail server downstream được cấu hình để gửi thư bị trả lại, các công cụ Web Security Appliance (WSA) hay Secure Email and Web Manager cũng như các thiết bị không được bật DANE sẽ không bị ảnh hưởng bởi lỗ hổng bảo mật này. Mặc định thì tính năng DANE sẽ không được bật.
Quản trị viên có thể kiểm tra xem DANE đã được cấu hình hay chưa bằng cách truy cập tới Mail Policies > Destination Controls > Add Destination và xác nhận xem tùy chọn DANE Support có được bật hay không.
Kiểm tra tính năng DANE được bật hay không
Gã khổng lồ về công nghệ mạng Cisco cũng đã phát hành các bản vá cập nhật và cung cấp giải pháp yêu cầu khách hàng cấu hình thư bị trả lại từ Cisco ESA thay vì từ các máy chủ mail server downstream để ngăn chặn khả năng bị khai thác.
Bên cạnh đó, trong bản cập nhật lần này, Cisco cũng giải quyết hai lỗ hổng khác có điểm CVSS lần lượt là 5.3 và 6.1 ảnh hưởng đến Cisco RCM (Cisco Redundancy Configuration Manager) đối với Cisco StarOS Software (lỗ hổng DoS) và bộ sản phẩm Cisco Prime Infrastructure cũng như Evolved Programmable Network Manager (lỗ hổng XSS).
Ngoài ra, Cisco đã công bố các bản vá cho nhiều lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến các bộ định tuyến RV Series, có thể được sử dụng để tấn công leo thang đặc quyền và thực thi mã tùy ý trên các hệ thống bị ảnh hưởng.
Đinh Hồng Đạt
10:00 | 08/04/2022
14:00 | 11/02/2022
15:00 | 30/03/2022
13:00 | 27/04/2022
13:00 | 24/08/2022
15:18 | 11/07/2016
12:00 | 12/08/2022
09:00 | 16/01/2023
13:34 | 26/10/2016
23:00 | 02/09/2022
08:00 | 28/04/2022
11:00 | 29/11/2024
Microsoft đã thu giữ 240 tên miền được khách hàng của nền tảng dịch vụ lừa đảo qua mạng ONNX sử dụng để nhắm vào các cá nhân và tổ chức của Mỹ và trên toàn thế giới kể từ năm 2017.
08:00 | 01/11/2024
Báo cáo mới đây của hãng bảo mật Trend Micro (Mỹ) cho biết, nhóm gián điệp mạng OilRig có liên hệ với Iran đã tăng cường các hoạt động tấn công mạng nhằm vào các thực thể chính phủ của các nước khu vực Vùng Vịnh.
12:00 | 03/10/2024
Mới đây, các chuyên gia bảo mật tại Kaspersky phát hiện ra 2 phần mềm có chứa mã độc Necro trên cửa hàng ứng dụng Play Store của Google. Đáng chú ý, 2 phần mềm độc hại này đã có tới hơn 11 triệu lượt tải xuống trước khi được các chuyên gia phát hiện.
13:00 | 13/09/2024
Cisco đã phát hành bản cập nhật bảo mật để giải quyết hai lỗ hổng nghiêm trọng ảnh hưởng đến tiện ích cấp phép thông minh (Smart Licensing Utility), có thể cho phép kẻ tấn công từ xa chưa được xác thực leo thang đặc quyền hoặc truy cập thông tin nhạy cảm.
Nhóm tin tặc liên kết với Triều Tiên có tên Kimsuky được cho là liên quan đến một loạt các cuộc tấn công lừa đảo bằng cách gửi các email từ địa chỉ người gửi ở Nga để thực hiện hành vi đánh cắp thông tin đăng nhập.
14:00 | 10/12/2024