Otwarte oprogramowanie antywirusowe ClamAV zagrożone przez krytyczną lukę RCE

ClamAV, open-source’owy silnik antywirusowy, został uznany za posiadający krytyczną lukę w zakresie zdalnego wykonywania kodu.

Luka została odkryta przez inżyniera bezpieczeństwa Google’a Simona Scannella i została namierzona jako CVE-2023-20032 z wysokim wynikiem CVSS 9.8. Błąd znajduje się w komponencie parsera plików HFS+ i dotyczy kilku wersji ClamAV, w tym 0.103.7 i wcześniejszych, 0.105.1 i wcześniejszych oraz 1.0.0 i wcześniejszych. Cisco, firma produkująca sprzęt sieciowy, wprowadziła aktualizacje zabezpieczeń, które usuwają lukę.

Według Cisco Talos, dziura występuje z powodu braku sprawdzania rozmiaru bufora, co może skutkować zapisem przepełnienia bufora sterty. Napastnik mógł wykorzystać tę lukę, przesyłając spreparowany plik partycji HFS+ do przeskanowania przez ClamAV na urządzeniu podatnym na tę dziurę. W przypadku udanego użycia, napastnik może uruchomić dowolny kod z takimi samymi uprawnieniami jak proces skanowania ClamAV lub przerwać proces, co prowadzi do stanu denial-of-service (DoS).

Cisco potwierdziło, że kilka jego produktów, takich jak Secure Endpoint, Secure Endpoint Private Cloud i Secure Web Appliance, było podatnych na tę lukę. Luka nie ma jednak wpływu na produkty Secure Email Gateway oraz Secure Email and Web Manager.

Dodatkowo Cisco załatało inną lukę w parserze plików DMG ClamAV, oznaczoną jako CVE-2023-20052, którą mógł wykorzystać nieupoważniony, zdalny napastnik. Luka umożliwia podstawienie encji XML, co może skutkować wstrzyknięciem zewnętrznej encji XML. Jeśli spreparowany plik DMG zostanie przesłany do ClamAV na zaatakowanym urządzeniu, napastnik może wykorzystać tę lukę.

Należy zauważyć, że CVE-2023-20052 nie ma wpływu na Cisco Secure Web Appliance. Cisco załatało jednak obie luki w ClamAV w wersjach 0.105.2, 0.103.8 i 1.0.1.

Oprócz tego Cisco rozwiązało lukę typu denial-of-service (DoS) wpływającą na Cisco Nexus Dashboard (CVE-2023-20014, CVSS score: 7.5), a także dwa błędy związane z eskalacją przywilejów i wstrzykiwaniem poleceń w Email Security Appliance (ESA) i Secure Email and Web Manager (CVE-2023-20009 i CVE-2023-20075, CVSS score: 6.5).