ClamAV Bugs Expose Users to Command Injection (CVE-2024-20328) and DoS Attacks (CVE-2024-20290)
2024/02/07 SecurityOnline — OSS のアンチウイルス・エンジン ClamAV に存在する、深刻な脆弱性について、先日に Cisco が明らかにした。それらの脆弱性には、エンドポイント/クラウドサービス/Web セキュリティ・インフラなどに大混乱をもたらす可能性があるため、早急な対策が必要である。
ClamAV は、その多用途性と信頼性の高さで知られており、サイバー・セキュリティの領域で堅固な守護者として認識されている。電子メールや Web のスキャンからエンドポイント・セキュリティまでの、さまざまなシナリオで採用されている ClamAV のユーティリティには、強力なマルチ・スレッド・デーモン/コマンド・ライン・スキャナ/自動データベース更新ツールなども含まれる。しかし、世界中のシステムの完全性を脅かす、脆弱性が潜んでいたのだ。
2024年2月7日に ClamAV の開発者たちは、ライブラリ内の2つの脆弱性に対処する重要なパッチを発表した。その1つ目は、コマンド・インジェクションの脆弱性 CVE-2024-20328 に対応するものである。ClamAV の ClamD サービスに存在する欠陥は、バージョン 0.104〜1.2.1 に影響を及ぼすものであり、リモート・コード実行の可能性を生じるものだ。
この悪用は、”VirusEvent” 機能に依存しており、”%f” フォーマット文字列パラメータを操作する攻撃者により、悪意のコマンドが注入される可能性が生じる。この脅威に対抗する開発者たちは、迅速に対応して “%f” パラメータを無効化し、さらに環境変数 ”CLAM_VIRUSEVENT_FILENAME” を慎重に利用するよう、管理者たちに促している。
2つ目の脆弱性 CVE-2024-20290 (CVSS:7.5) は、OLE2 ファイル・パーサーにおけるヒープバッファ・オーバーフローの脆弱性であり、境界外を読み取ることで、サービス拒否 (DoS) 状態を引き起こす可能性があるという。この脆弱性はバージョン 1.0.0〜1.2.1 に存在し、サービス拒否 (DoS) シナリオを引き起こし、ClamAV のスキャン・プロセスを中断させ、システム・リソースを消耗させる可能性がある。
Cisco は、これらの脆弱性の重大性を認識しており、Secure Endpoint Connector for Windows/Secure Endpoint Connector for Linux などを、影響を受ける製品として迅速に特定した。ただし、Firepower Threat Defense (FTD) Software/Secure Email Gateway/Secure Web Appliance などは、今回の問題から免れている。
ClamAV 1.2.2/1.0.5 がリリースされ、脆弱性 CVE-2024-20328/CVE-2024-20290 の不具合が修正された。
Cisco は、野放し状態での悪用の証拠は見つかっていないと述べているが、悪用された形跡がないからといって、改善の緊急性が低下するわけではない。
このような脆弱性に直面した場合には、事前の対策が最も重要となる。ユーザー組織は Cisco の警告に向き合い、速やかにパッチを適用し、防御を強化するためのセーフ・ガードを導入する必要がある。
1年ほど前の 2023/02/17 にも、「Cisco ClamAV の深刻な脆弱性 CVE-2023-20032/CVE-2023-20052 が FIX」という記事がポストされており、そのときから、ClamAV と Cisco の関係が気になっていました。そこで Wikipedia で調べてみたら、2013年に Cisco が ClamAV を買収したと記されていました。よろしければ、ClamAV で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.