攻击者可以通过发送恶意电子邮件使思科电子邮件安全设备崩溃

思科已发布安全更新，其中包含影响其产品的三个漏洞，包括其电子邮件安全设备（ESA）中的一个高严重性漏洞，该漏洞可能导致受影响设备上出现拒绝服务（DoS）情况。

该漏洞被分配了标识符 CVE-2022-20653（CVSS 分数：7.5），源于 DNS 名称解析中错误处理不充分的情况，未经身份验证的远程攻击者可能滥用该情况来发送经特殊设计的电子邮件并导致 DoS。

"成功的漏洞利用可能允许攻击者导致设备无法从管理界面访问，或者在一段时间内处理其他电子邮件，直到设备恢复，从而导致DoS状况，"该公司在一份公告中表示。"持续的攻击可能导致设备完全不可用，从而导致持续的DoS状况。

该漏洞会影响运行运行版本 14.0、13.5、13.0、12.5 及更早版本的思科 AsyncOS 软件的思科 ESA 设备，并启用了"DANE 功能，并将下游邮件服务器配置为发送退回邮件"。DANE 是基于 DNS 的命名实体身份验证的缩写，用于出站邮件验证。

思科认为ICT服务提供商Rijksoverheid Dienst ICT Uitvoering（DICTU）的研究人员报告了该漏洞，同时指出没有发现任何恶意利用的证据。

另外，这家网络设备制造商还解决了其主要基础设施和演进的可编程网络管理器和冗余配置管理器中的另外两个缺陷，这些缺陷可能使对手能够执行任意代码并导致DoS条件 -

CVE-2022-20659（CVSS 分数：6.1）– 思科 Prime 基础设施和演进的可编程网络管理器跨站点脚本 （XSS） 漏洞
CVE-2022-20750（CVSS 分数：5.3）– 针对思科 StarOS 软件 TCP 拒绝服务 （DoS） 漏洞的思科冗余配置管理器
这些修复也是在思科发布影响其RV系列路由器的多个关键安全漏洞的补丁几周后进行的，其中一些路由器获得了10个可能的CVSS最高严重性评分等级，可以武器化以提升权限并在受影响的系统上执行任意代码。