Multiple ClamAV Vulnerabilities Allow Remote Attacker to Cause a DoS Condition
2026/07/02 CyberSecurityNews — Cisco の ClamAV engine に、高深刻度の脆弱性 CVE-2026-20213/20214/20215 が発見された。これらの脆弱性を悪用するリモート攻撃者は、アンチウイルスのスキャン・プロセスをクラッシュさせ、影響を受ける Cisco Secure Endpoint Connector デプロイメントにおいてサービス拒否 (DoS) を引き起こす可能性がある。

これらの欠陥は、Windows/Linux/macOS バージョンに影響を及ぼす。最も影響が大きいのは、ClamAV のスキャン・プロセスが高権限で実行されている Windows 環境であり、クラッシュによる影響が endpoint の安定性を損なうことから、High (CVSS 7.5) と評価されている。
Linux /macOS 環境では、ClamAV が低権限で実行されるため、Security Impact Rating は Medium である。この場合、DoS が生じたとしても、システム全体に対してではなく、スキャンが妨害されるのみである。
Cisco は、Secure Endpoint Private Cloud 自体が、脆弱な状況に置かれるわけではないと明確にしている。ただし、そこから配布される connector は、ClamAV の欠陥を引き継ぐため、アップデートは不可欠である。
これらの脆弱性は、PE/FSG/7z/InstallShield/PESpin/ALZ/DMG といった複数の ClamAV ファイル形式パーサにおける、不適切なメモリ処理/境界チェック/リソース管理に起因する。
ClamAV の脆弱性
認証されていない攻撃者であっても、これらの形式の不正なファイルを細工することで、電子メール/Web ダウンロード/ファイル共有を介して、ClamAV に対して特定コンテンツのスキャンを endpoint に強要できる。
悪意のファイルがエンジンによりパースされる際に、境界外書き込み/メモリの過剰読み取り/32-bit プラットフォームにおける整数オーバーフローなどが発生する。それにより、一時的にシステム・リソースが過剰に消費され、ClamAV プロセスが終了し、DoS 状態を引き起こされる可能性がある。
2026年7月1日に、Cisco はアドバイザリ cisco-sa-clamav-88cFYyxR を公表し、同様の ClamAV パース脆弱性が、過去にもスキャン処理を妨害していたと警告している。
プロセス権限とプラットフォーム保護が脆弱な場合には、リモート・コード実行が引き起こされる可能性がある。それが浮き彫りにするのは、信頼できない入力を日常的に処理するセキュリティ・エンジンにおけるリスクである。
製品およびプラットフォームの実装に応じて、影響のレベルが異なると Cisco は述べているが、脆弱な ClamAV コンポーネントを使用する Linux/Mac/Windows 向けの Secure Endpoint Connector において露出が生じることが確認されている。
Windows の connector に関しては、深刻度 High (CVSS 7.5) と評価されている。悪用が成功すると endpoint が応答不能となり、再起動などの手動介入が必要になる可能性がある。
Linux/Mac の connector は、深刻度 Medium と評価されている。悪用が成功すると、スキャン・エンジンが停止し、マルウェア検知が遅延/妨害されるが、オペレーティング・システム全体が不安定になることはない。
ClamAV DoS 問題に関する過去のベンダー通知は、一貫したパターンを示している。いったんスキャン・プロセスがクラッシュすると、そのデバイスは、サービスが再起動されるか、システムが復旧されるまで、アンチウイルス防御を失う。
これらの ClamAV 脆弱性に対して、Cisco はパッチ適用のみが持続的な緩和策であるとし、実用的な回避策は存在しないと報告している。
更新済みの Secure Endpoint Connector リリースは、Cisco Secure Endpoint portal から入手可能である。影響を受ける顧客に強く推奨されるのは、通常のコンテンツ/ソフトウェアの更新サイクルの一環として、Windows/Linux/Mac 向けの修正版へとアップグレードすることだ。
セキュリティ・チームは、特定のビルド番号および展開ガイダンスについて、関連する Cisco bug ID と CVE エントリも確認し、更新前に endpoint に十分なリソースがあることを確認すべきである。
訳者後書:セキュリティの要となる ClamAV において、 検査対象のデータを解析する内部処理の不備を原因とした深刻な問題が明らかになりました。この脆弱性 CVE-2026-20213/CVE-2026-20214/CVE-2026-20215 が悪用されると、 悪意のファイルを読み込む際に保護システムが突然停止してしまう恐れがあります。特定の環境では端末自体が応答しなくなるなど、防衛体制に大きな穴が空くリスクを伴います。安全な運用を維持するための対応策として、開発元から配布されている最新のコネクタへの更新を早期に適用し、常に最新の防御状態を保つように心がけてください。よろしければ、ClamAV での検索結果も、ご参照ください。
You must be logged in to post a comment.