Spoločnosť Cisco vydala aktualizácie opravujúce kritickú zraniteľnosť v ClamAV, ktorá ovplyvňuje aj produkty Cisco Secure Endpoint, Secure Endpoint Private Cloud a Secure Web Appliance. Zraniteľnosť umožňuje vzdialené vykonávanie kódu s oprávneniami skeneru ClamAV.

Zraniteľné systémy:

ClamAV verzie

  • 1.0.0 a staršie,
  • 0.105.1 a staršie,
  • 0.103.7 a staršie

Secure Endpoint (predtým Advanced Malware Protection (AMP) for Endpoints) pre Linux, verzie staršie ako 1.20.21

Secure Endpoint (predtým AMP for Endpoints) pre MacOS, verzie staršie ako 1.21.11

Secure Endpoint (predtým AMP for Endpoints) pre Windows, verzie staršie ako 7.5.9 alebo 8.1.5

Secure Endpoint Private Cloud, verzie staršie ako 3.6.0

Secure Web Appliance (predtým Web Security Appliance), verzie staršie ako 12.5.6 (May 2023), 14.0.4-005, 14.5.1-013 (Mar 2023) alebo 15.0.0-254

Opis činnosti:

CVE-2023-20032 (CVSS 9,8)

Spoločnosť Cisco opravila kritickú zraniteľnosť v open source antivíruse ClamAV, ktorá umožňuje vzdialené vykonávanie kódu s oprávneniami procesu ClamAV. Zraniteľnosť sa nachádzala v komponente určenom na syntaktickú analýzu HFS+ súborov. Kvôli chýbajúcej kontrole veľkosti medzipamäte môže dôjsť ku pretečeniu medzipamäte na halde. To môže útočník zneužiť podvrhnutím špeciálne vytvoreného HFS+ súboru skeneru ClamAV.

Zraniteľnosť objavil Simon Scannell pracujúci pre spoločnosť Google.

Závažnosť zraniteľnosti: Vysoká

Možné škody:

  • Vzdialené vykonávanie kódu
  • Nedostupnosť služby (DoS)

Odporúčania:

Bezodkladná aktualizácia:

  • ClamAV aspoň na verzie 1.0.1, 0.105.2 alebo 0.103.8. Aktualizácie dostupné na webe výrobcu TU a TU.
  • Secure Endpoint (predtým Advanced Malware Protection (AMP) for Endpoints) pre Linux, aspoň na verziu 1.20.21
  • Secure Endpoint (predtým AMP for Endpoints) pre MacOS, aspoň na verziu 1.21.11
  • Secure Endpoint (predtým AMP for Endpoints) pre Windows, aspoň na verziu 7.5.9 alebo 8.1.5
  • Secure Endpoint Private Cloud, aspoň na verziu 3.6.0
  • Secure Web Appliance (predtým Web Security Appliance), aspoň na verziu 12.5.6 (May 2023), 14.0.4-005, 14.5.1-013 (Mar 2023) alebo 15.0.0-254

Odkazy:

https://blog.clamav.net/2023/02/clamav-01038-01052-and-101-patch.html

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-clamav-q8DThCy

https://thehackernews.com/2023/02/critical-rce-vulnerability-discovered.html

Zdroj: csirt.gov.sk