Կրիտիկական RCE խոցելիություն ClamAV բաց կոդով հակավիրուսային ծրագրում

Cisco-ն ներկայացրել է անվտանգության թարմացումներ որոնք վերացնելու են ClamAV բաց կոդով հակավիրուսային ծրագրի Core-ում հայտնված կարևոր թերությունը, որը կարող է հանգեցնել կոդերի հեռակառավարման իրականացում (remote command execution) սարքերի վրա:

Հետևելով որպես CVE-2023-20032 (CVSS գնահատականը՝ 9.8), խնդիրը վերաբերում է HFS+ ֆայլերի վերլուծիչ բաղադրիչում գտնվող հեռակա կոդի կատարմանը:

Թերությունն ազդում է  1.0.0 և ավելի վաղ, 0.105.1 և ավելի վաղ, և 0.103.7 և ավելի վաղ տարբերակների վրա: Google-ի անվտանգության ինժեներ Սայմոն Սկաննելին ստացել է պարգևավճար սխալի հայտնաբերման և հաղորդման համար:

«Այս խոցելիությունը պայմանավորված է բացակայող բուֆերի չափի ստուգմամբ, որը կարող է հանգեցնել կույտային բուֆերի արտահոսքի գրառմանը (heap buffer overflow)»,

– ասվում է Cisco Talos- ի խորհրդատվական հաղորդագրությունում: 

«Հարձակվողը կարող է օգտագործել այս խոցելիությունը՝ ներկայացնելով մշակված HFS+ միջնորմային ֆայլ, որը պետք է սկանավորվի ClamAV-ի կողմից տուժած սարքի վրա»:

Թուլության հաջող շահագործումը կարող է հակառակորդին հնարավորություն տալ գործարկել կամայական կոդ՝ նույն արտոնություններով, ինչ ClamAV սկանավորման գործընթացում, կամ խափանել գործընթացը՝ հանգեցնելով ծառայության մերժման (DoS) :

Ցանցային սարքավորումներն ասում են, որ հետևյալ պրոդուկտները խոցելի են.

• Secure Endpoint, formerly Advanced Malware Protection (AMP) for Endpoints (Windows, macOS, and Linux)
• Secure Endpoint Private Cloud, and
• Secure Web Appliance, formerly Web Security Appliance

Այն նաև հաստատեց, որ խոցելիությունը չի ազդում Secure Email Gateway (նախկինում՝ Email Security Appliance) և Secure Email and Web Manager (նախկինում՝ Security Management Appliance) պրոդուկտների վրա:

Cisco-ի կողմից կարկատվել է նաև ClamAV-ի DMG ֆայլերի վերլուծիչի հեռավոր տեղեկատվության արտահոսքի խոցելիությունը (CVE-2023-20052, CVSS միավոր՝ 5.3), որը կարող է շահագործվել չհաստատված, հեռավոր հարձակվողի կողմից:

«Այս խոցելիությունը պայմանավորված է XML օբյեկտի փոխարինման հնարավորությամբ, որը կարող է հանգեցնել XML արտաքին օբյեկտի ներարկման (XXE)»,

– նշել է Cisco-ն : 

«Հարձակվողը կարող է օգտագործել այս խոցելիությունը՝ ներկայացնելով մշակված DMG ֆայլ, որը պետք է սկանավորվի ClamAV-ի կողմից տուժած սարքի վրա»:

Հարկ է նշել, որ CVE-2023-20052-ը չի ազդում Cisco Secure Web Appliance-ի վրա: Այսպես ասած, երկու խոցելիությունը լուծվել է ClamAV 0.103.8, 0.105.2 և 1.0.1 տարբերակներում:

Cisco-ն առանձին լուծել է նաև ծառայության մերժման (DoS) խոցելիությունը, որն ազդել է Cisco Nexus Dashboard-ի ( CVE-2023-20014 , CVSS գնահատականը՝ 7.5) և երկու այլ արտոնությունների ընդլայնման և հրամանի ներարկման թերությունների վրա Email Security Appliance (ESA) և Secure Email-ում: Վեբ մենեջեր ( CVE-2023-20009 և CVE-2023-20075 , CVSS միավորներ՝ 6.5):

Աղբյուրը՝ https://thehackernews.com/