Поделиться
Брешь высокой категории в открытом антивирусе сделала беззащитным сетевое ПО Cisco
В антивирусе с открытым исходным кодом ClamAV была обнаружена 9,8-балльная ошибка, позволявшая запускать произвольный код удаленно. Свежие исправления также устраняют другую, менее опасную уязвимость.
9,8 балла
Корпорация Cisco выпустила обновления к критической уязвимости в антивирусе ClamAV. Уязвимость допускала удаленный запуск произвольного кода на устройствах, где был установлен этот антивирусный модуль.
Уязвимость CVE-2023-20032 (9,8 баллов по шкале CVSS) была выявлена экспертами Google. Проблема заключается в том, как работает функция интерпретации файлов HFS+.
«Уязвимость связана с отсутствием проверки размера буфера, что может привести к ошибке записи при переполнении буфера кучи (a heap buffer overflow write)», — говорится в бюллетене Cisco Talos. — Злоумышленник может воспользоваться этой уязвимостью, предоставив антивирусу для сканирования специально подготовленный файл HFS+ на локальном устройстве».
HFS+ — это система журналирования для HFS, основной операционной системы Apple macOS.
В результате эксплуатации уязвимости злоумышленник может запустить произвольный код на устройстве с теми же привилегиями, с какими запущен процесс ClamAV, или вызвать сбой в работе этого процесса.
ClamAV — это антивирусная система с открытым исходным кодом для UNIX-подобных систем (к которым относится и macOS) и Microsoft Windows. Разрабатывающийся с середины 2000-х, этот антивирус в итоге стал собственностью Cisco, и его разработкой занимается группа по исследованию киберугроз Cisco Talos. Антивирус, однако, остается опенсорсным, распространяемым бесплатно по лицензии GPL-2.0
Уязвимость затрагивает версии 1.0.0 и ранее, 0.105.1 и ранее и 0.103.7 и ранее.
Как следствие, уязвимыми оказались такие продукты как Cisco Secure Endpoint (ранее Advanced Malware Protection for Endpoints) под Windows, macOS и Linux, Secure Endpoint Private Cloud и Secure Web Appliance (ранее Web Security Appliance).
Установлено также, что уязвимость отсутствует в Secure Email Gateway и Secure Email and Web Manager.
«Критические уязвимости в антивирусах — это всегда вдвойне серьезная проблема: пользователи ожидают, что эти программы будут обеспечивать защиту от атак, а не вектор проникновения, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — В данном случае обращает на себя внимание и то, что это опенсорсный продукт. Открытый исходный код — не значит более безопасный, хотя в теории проинспектировать его могут все желающие. Отрадно, что уязвимость нашли эксперты Google, а не киберзлоумышленники. Учитывая использование ядра этого антивируса в продуктах Cisco, ущерб от атак мог бы быть огромным».
И пятибалльный довесок
Помимо критической уязвимости, Cisco устранили менее опасную проблему, допускавшую утечку информации в интерпретаторе файлов DMG, используемом в ClamAV. Уязвимость CVE-2023-20052 получила оценкув 5,3 балла по шкале угроз CVSS. С ее помощью потенциальный злоумышленник мог произвести внедрение внешней XML-сущности. Для этого, опять же, потребовалось бы создать специальный DMG-файл, который при сканировании ClamAV вызывал бы сбой.
Уязвимость затрагивает версии ClamAV 0.103.8, 0.105.2 и 1.0.1. При этом пользователи CiscoSecureWebAppliance могут этой уязвимость не опасаться.
Свежие обновления устраняют обе уязвимости.
Короткая ссылка
