Cisco ClamAV反恶意软件扫描器曝严重安全漏洞

John Leyden
2023年2月22日 14:23 UTC

漏洞详情

网络设备巨头思科旗下反恶意软件扫描产品中存在一个安全漏洞，对部分产品构成严重安全风险。

具体而言，ClamAV扫描库中的一个漏洞（追踪编号CVE-2023-20032）对思科Secure Web Appliance以及多个版本的Cisco Secure Endpoint（包括Windows、MacOS、Linux和云端版本）构成了严重安全威胁。

思科已于上周发布关于该漏洞的公告，并为受影响产品提供了补丁。虽然该漏洞尚未被主动利用，但仍建议尽快安装补丁。

技术分析

该分区扫描缓冲区溢出漏洞对受影响技术构成严重风险。根据思科安全公告说明，ClamAV的HFS+分区文件解析器中的漏洞为攻击者提供了将恶意代码推送到终端设备或易受攻击的Secure Web Appliance实例的机制。

该漏洞源于缺少缓冲区大小检查，在扫描HFS+分区文件时会造成堆缓冲区溢出风险。攻击者可能创建恶意分区文件，然后提交给ClamAV进行扫描。

思科公告指出：“成功利用此漏洞可能允许攻击者以ClamAV扫描进程的权限执行任意代码，或者使进程崩溃，导致拒绝服务(DoS) condition。”

使用场景

ClamAV（Clam AntiVirus）是一款最初为Unix开发的免费反恶意软件工具包。该技术由思科10年前通过收购获得，已被移植到包括Linux、macOS和Windows在内的各种操作系统上运行。

该技术的主要用例之一是在邮件服务器上作为服务器端邮件恶意软件扫描器。不过，思科已确认其Secure Email Gateway和Secure Email and Web Manager设备均不受此特定安全漏洞影响。

漏洞发现

ClamAV的HFS+分区文件解析器中的安全漏洞，以及同一技术的DMG文件解析器中较轻微的远程信息泄露漏洞（追踪编号CVE-2023-20052），均由谷歌工程师Simon Scannell发现。谷歌于去年8月就ClamAV中的安全漏洞通知了思科。

谷歌在GitHub上发布的公告提供了更严重的CVE-2023-20032漏洞及其潜在利用的完整技术说明。

严重性评估

思科公告解释：“我们将此漏洞评为高严重性，因为当使用默认启用的CL_SCAN_ARCHIVE选项运行扫描时，可能触发缓冲区溢出。此功能通常用于在邮件服务器后端扫描传入电子邮件。因此，远程、外部、未经身份验证的攻击者可能触发此漏洞。”

德国网络安全供应商ONEKEY的技术博客文章总结称，ClamAV中的这两个漏洞说明"文件格式解析是一项困难且复杂的任务"。