Cisco fixed critical RCE bug in ClamAV Open-Source Antivirus engine
2023/02/17 SecurityAffairs — Cisco が公表したのは、オープンソース・アンチウイルス・エンジン ClamAV に存在する、深刻な脆弱性 CVE-2023-20032 (CVSS:9.8) の修正である。HFS+ file parser コンポーネントに存在する、この脆弱性の悪用に成功した攻撃者は、脆弱なデバイス上でのリモート・コード実行や、DoS 状態の生成などが可能になる。この脆弱性は、ClamAV のバージョン 1.0.0 以下/0.105.1 以下/0.103.7 以下に影響を及ぼす。Cisco は、報告者である Google の Simon Scannell に謝意を表している。
この脆弱性は、バッファサイズのチェックの欠落に起因する、バッファ・オーバーフローの問題であり、ClamAV のスキャン・ライブラリに影響を与える。
Cisco のアドバイザリには、「この脆弱性は、ヒープバッファ・オーバーフローを生じる可能性のある、バッファサイズ・チェックの欠落に起因する。攻撃者は、細工した HFS+ partition ファイルを送信して、影響を受けるデバイス上の ClamAV によりスキャンさせることが可能になる。この悪用に成功した攻撃者は、ClamAV スキャン・プロセスの権限での任意のコード実行や、プロセス・クラッシュによるサービス拒否 (DoS) 状態を引き起こす可能性がある」と詳述されている。
この脆弱性は、以下の製品に影響する。
| CISCO PRODUCT | CISCO BUG ID | FIXED RELEASE AVAILABILITY |
|---|---|---|
| Secure Endpoint, formerly Advanced Malware Protection (AMP) for Endpoints, for Linux | CSCwd74133 | 1.20.21 |
| Secure Endpoint, formerly Advanced Malware Protection (AMP) for Endpoints, for MacOS | CSCwd74134 | 1.21.11 |
| Secure Endpoint, formerly Advanced Malware Protection (AMP) for Endpoints, for Windows | CSCwd74135 | 7.5.9 1 8.1.5 |
| Secure Endpoint Private Cloud | CSCwe18204 | 3.6.0 or later with updated connectors2 |
| Secure Web Appliance, formerly Web Security Appliance | CSCwd74132 | 14.0.4-005 15.0.0-254 |
なお、Secure Email Gateway (旧 Email Security Appliance) /Secure Email and Web Manager (旧 Security Management Appliance) は影響を受けない。
Cisco は、この脆弱性に対する回避策はないとしている。しかし幸いなことに、同社の PSIRT (Product Security Incident Response Team) は、この脆弱性を悪用した野放し状態での攻撃を認知していないとのことだ。
Cisco は、ClamAV エンジンの別の脆弱性 CVE-2023-2002 にも対処した。この脆弱性は、DMG ファイル・パーサにおいて、リモートから情報漏えいを引き起こす可能性がある。影響を受けるバージョンは、ClamAV の 1.0.0 未満/0.105.1 未満/0.103.7 未満となる。
Cisco のアドバイザリでは、「この脆弱性は、XML エンティティ置換の有効化により発生する、XML 外部エンティティ・インジェクションに起因する。攻撃者は、細工した DMG ファイルを送信して、影響を受けるデバイス上の ClamAV によりスキャンさせることで、この脆弱性を悪用できる。したがって、ClamAV のスキャン・プロセスにより読み取りが可能性な、あらゆるファイルからバイトが漏えいする可能性がある」と説明されている。
Wikipedia で Clam AV を調べると、「オープンソース (GPL) で提供されているクロス・プラットフォームのアンチウイルスである。メール・ゲートウェイで電子メールのウイルス・スキャンを行うことを開発目標の主眼としている。当初UNIX用として開発され、その後に AIX/BSD/HP-U/ Linux/OpenVMS/macOS/OSF/Solaris に移植され、現在では Windows にも多数の派生版が移植されている」とのことです。Cisco でも活用されているようですね。
IoT OT Security News 
You must be logged in to post a comment.