Hackernews 编译,转载请注明出处:
一位研究人员揭示了如何绕过思科安全电子邮件网关设备中的一些过滤器,并使用特制的电子邮件发送恶意软件。
研究人员在完整披露邮件列表中写道:“本报告是在协调的披露程序内发布的。研究人员一直与供应商保持联系,但在规定的时间范围内没有收到满意的答复。由于攻击复杂度较低,而且第三方已经发布了漏洞攻击,因此在公开线程方面不能再有任何推迟。”
研究人员解释说,利用电子邮件客户端的容错能力和不同的MIME解码能力,远程攻击者可以绕过思科安全电子邮件网关。
研究人员披露的方法可能会让攻击者绕过思科安全电子邮件网关,他们可以针对Outlook、Thunderbird、Mutt和Vivaldi等多个电子邮件客户端。
这三种方法是:
- 方法1:Cloaked Base 64-使用包含Eicar测试病毒的zip文件和带有AsyncOS 14.2.0-620、14.0.0-698等的Cisco安全电子邮件网关成功测试了此漏洞。该方法会影响多个电子邮件客户端,包括Microsoft Outlook for Microsoft 365 MSO(版本2210 Build 16.0.15726.20070)64位、Mozilla Thunderbird 91.11.0(64位)、Vivaldi 5.5.2805.42(64位)、Mutt 2.1.4-1ubuntu1.1等。
- 方法2:yEnc编码-使用包含Eicar测试病毒的zip文件和带有AsyncOS 14.2.0-620、14.0.0-698等的Cisco安全电子邮件网关成功测试了此漏洞。该方法影响Mozilla Thunderbird 91.11.0(64位)电子邮件客户端。
- 方法3:隐藏引用的可打印文件-已使用包含Eicar测试病毒的zip文件和带有AsyncOS 14.2.0-620、14.0.0-698等的Cisco安全电子邮件网关成功测试了此漏洞。该方法影响Vivaldi 5.5.2805.42(64位)和Mutt 2.1.4-1ubuntu1.1电子邮件客户端。
思科发布了一份错误报告,警告思科安全邮件网关的Sophos和McAfee扫描引擎存在一个问题,该问题可能允许未经身份验证的远程攻击者绕过特定的过滤功能。
报告中写道:“这个问题是由于对潜在恶意电子邮件或附件的识别不当。攻击者可以利用这个漏洞,通过受影响的设备发送带有格式错误的内容类型标头(MIME类型)的恶意电子邮件,从而绕过基于受影响的扫描引擎的默认反恶意软件过滤功能,并成功将恶意消息传递给最终客户端。”
这些漏洞会影响使用默认配置运行的设备。
研究人员解释说,使用攻击方法的代码,以及许多操纵MIME编码的类似技术,都是在一个开源工具包中实现的,该工具包可以在GitHub上生成和测试错误的MIME。
消息来源:securityaffairs,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文