В антивірусному програмному забезпеченні з відкритим вихідним кодом ClamAV виявлено серйозну вразливість до віддаленого виконання коду, яка наражає користувачів на непередбачені ризики безпеці.

Cisco вжила заходів для захисту своїх клієнтів від серйозного злому, який було виявлено в антивірусному механізмі з відкритим кодом ClamAV. Ця вразливість під назвою CVE-2023-20032 (оцінка CVSS: 9,8) може дозволити зловмисникам виконувати довільний код на вразливих пристроях, використовуючи проблему в компоненті аналізатора файлів HFS+.

У версіях 1.0.0 і попередніх, 0.105.1 і попередніх, а також 0.103.7 або попередніх ця проблема безпеки була виявлена ​​інженером безпеки Google Саймоном Сканнеллом – відкриття, яке вже було належним чином відзначено в країнах, що розвиваються! «Ця вразливість пов’язана з відсутністю перевірки розміру буфера, що може призвести до запису переповнення буфера купи», — йдеться в повідомленні Cisco Talos. «Зловмисник може використати цю вразливість, надіславши створений файл розділу HFS+ для сканування ClamAV на ураженому пристрої».

Скориставшись цією вразливістю, зловмисник може отримати повний контроль над системою з ідентичними привілеями, як і процес сканування ClamAV, або навіть призвести до збою, залишаючи вас відкритими для атаки відмови в обслуговуванні (DoS).

Згідно з мережевим обладнанням, ці продукти піддаються й відкриті для потенційних загроз:

• Secure Endpoint, раніше — Advanced Malware Protection (AMP) для кінцевих точок (Windows, macOS і Linux)
• Захищена приватна хмара кінцевої точки та
• Secure Web Appliance, раніше Web Security Appliance

Це також підтвердило, що вразливість не впливає на продукти Secure Email Gateway (раніше відомий як Email Security Appliance) і Secure Email and Web Manager (спочатку називався Security Management Appliance).

Cisco нещодавно випустила патч для уразливості віддаленого витоку інформації (CVE-2023-20052, оцінка CVSS: 5,3), присутньої в аналізаторі файлів DMG ClamAV, якою може скористатися неавтентифікована стороння особа. «Ця вразливість пов’язана з увімкненням підміни об’єктів XML, що може призвести до ін’єкції зовнішніх об’єктів XML», — зазначили в Cisco. «Зловмисник може використати цю вразливість, надіславши створений файл DMG для сканування ClamAV на ураженому пристрої».

Слід зазначити, що CVE-2023-20052 не впливає на Cisco Secure Web Appliance. Тим не менш, усі вразливості були виправлені у версіях ClamAV 0.103.8, 0.105.2 і 1.0.1. На додаток до цього, Cisco також усунула вразливість Відмова в обслуговуванні (DoS), яка впливала на Nexus Dashboard (CVE-2023-20014 з CVSS). оцінка: 7)