Cisco ClamAV反恶意软件扫描器曝严重安全漏洞

John Leyden
2023年2月22日 14:23 UTC

漏洞详情

网络巨头思科的捆绑反恶意软件扫描产品中存在安全缺陷，对其部分产品构成严重安全风险。

具体而言，ClamAV扫描库中的一个漏洞（追踪为CVE-2023-20032）对思科安全Web设备以及思科安全终端多个版本（包括Windows、MacOS、Linux和云版本）造成了严重安全威胁。

思科上周发布了关于该漏洞的公告以及受影响产品的补丁。虽然该漏洞尚未遭到主动攻击，但仍建议安装补丁。

该分区扫描缓冲区溢出漏洞对易受攻击的技术构成严重风险。

技术分析

根据思科安全公告的解释，ClamAV的HFS+分区文件解析器中的漏洞创建了一种机制，可将恶意代码推送到端点设备或思科安全Web设备的易受攻击实例上。

该漏洞源于缺少缓冲区大小检查，在扫描HFS+分区文件时造成堆缓冲区溢出风险。攻击者可能能够创建恶意分区文件，然后提交给ClamAV进行扫描。

思科公告说明：“成功利用可能允许攻击者以ClamAV扫描进程的权限执行任意代码，或者使进程崩溃，导致拒绝服务（DoS）条件。”

使用场景

ClamAV（Clam AntiVirus）是一款最初为Unix开发的免费反恶意软件工具包。该技术（思科10年前通过收购获得）已被移植到包括Linux、macOS和Windows在内的各种操作系统上运行。

该技术的主要用例之一是在邮件服务器上作为服务器端邮件恶意软件扫描器。然而，思科已确认其安全邮件网关以及安全邮件和Web管理器设备均不易受此特定安全漏洞影响。

漏洞发现

ClamAV的HFS+分区文件解析器中的安全漏洞，以及同一技术的DMG文件解析器中较轻微的远程信息泄露漏洞（追踪为CVE-2023-20052），均由谷歌工程师Simon Scannell发现。谷歌于去年8月就ClamAV中的安全漏洞通知了思科。

谷歌在GitHub上发布的公告提供了更严重的CVE-2023-20032漏洞及其潜在利用的完整技术说明。

思科公告解释：“我们将此漏洞评为高严重性，因为当扫描运行时启用了CL_SCAN_ARCHIVE（在大多数配置中默认启用）时，可能触发缓冲区溢出。此功能通常用于在邮件服务器后端扫描传入邮件。因此，远程、外部、未经身份验证的攻击者可能触发此漏洞。”

德国网络安全供应商ONEKEY的技术博客文章总结称，ClamAV中的这两个漏洞说明"文件格式解析是一项困难且复杂的任务"。