Cisco ClamAV の DoS 脆弱性 CVE-2025-20128 が FIX:すでに PoC が提供

Cisco warns of denial of service flaw with PoC exploit code

2025/01/22 BleepingComputer — Cisco がリリースしたセキュリティ・アップデートは、すでに PoC エクスプロイト・コードが公開されている、ClamAV の脆弱性 CVE-2025-20128 を修正するものだ。脆弱性 CVE-2025-20128 の原因は、Object Linking and Embedding 2 (OLE2) 復号ルーチンにおけるヒープベース・バッファ・オーバーフローの欠陥にある。この脆弱性の悪用に成功した未認証のリモートの攻撃者は、脆弱性のあるデバイス上でサービス拒否 (DoS) 状態を引き起こせるという。

この脆弱性の悪用が達成されると、ClamAV アンチウイルス・スキャン・プロセスがクラッシュし、それ以降のスキャン操作に対して、妨害/遅延などが発生する可能性がある。

Cisco の説明によると、「悪意の OLE2 コンテンツを取り込むように細工したファイルを、脆弱なデバイス上の ClamAV にスキャンさせることで、この脆弱性の悪用が成り立つ可能性がある。悪用に成功した攻撃者は、ClamAV スキャン・プロセスの終了を達成し、その結果として、脆弱性のあるソフトウェア上で、DoS 状態が発生する恐れがある」という。

ただし、2025年1月22日に発表された Cisco のアドバイザリでは、攻撃が成功した後であっても、システム全体の安定性には影響がないと説明されている。

脆弱性 CVE-2025-20128 の影響を受ける製品は、Linux/Mac/Windows ベース・プラットフォーム用の Secure Endpoint Connector ソフトウェアなどである。このソリューションは、Cisco Secure Endpoint の監査ログとイベントを、Microsoft Sentinel のような SIEM (Security Information and Event Management) システムに取り込むために使用されている。

PoC エクスプロイトが公開されているが悪用は未確認

Cisco の PSIRT (Product Security Incident Response Team) は、脆弱性 CVE-2025-20128 の PoC エクスプロイト・コードが、すでに利用可能になっていると認めている。しかし、実環境で悪用された形跡は、現時点では確認されてないとしている。

同日に Cisco は、以下の2件の脆弱性を修正するセキュリティ・アップデートもリリースしている。

  • CVE-2025-20165 (CVSS:7.5):Cisco BroadWorks に存在する DoS 脆弱性 
  • CVE-2025-20156 (CVSS:9.9): Cisco Meeting Management REST API に存在する特権昇格の脆弱性

さらに 2024年10月には、Cisco ASA and Firepower Threat Defense (FTD) の DoS 脆弱性 CVE-2024-20481 も修正している。この脆弱性は、2024年4月に発生した、Cisco Secure Firewall VPN デバイスに対する大規模なブルートフォース攻撃の最中に発見されたものだ。

その他にも、下記の脆弱性が修正されている。

  • 2024年10月:CVE-2024-20481 (CVSS:5.8):Cisco ASA and Firepower Threat Defense (FTD) の DoS 脆弱性。この脆弱性は、同年 4月に発しした、Cisco Secure Firewall VPN デバイスに対する大規模なブルートフォース攻撃の最中に発見された。
  • 2024年11月:CVE-2024-20418 (CVSS:10.0):Cisco Unified Industrial Wireless におけるコマンド・インジェクションの脆弱性。悪用に成功した攻撃者は、Ultra-Reliable Wireless Backhaul (URWB) 産業用アクセス・ポイント上において、ルート権限によるコマンド実行の可能性を得る。

Cisco が提供する Anti-Virus である ClamAV に、OLE に関連する脆弱性とのことです。PoC がリリースされていますので、ご利用のチームは、ご注意ください。つい先日である 2025/01/15 の「Outlook の Zero-Click 脆弱性 CVE-2025-21298 に注意:2025/01 の月例で対応済み」も、OLE に関連する脆弱性でした。よろしければ、Cisco で検索と併せて、ご参照ください。