Cisco ClamAV反恶意软件扫描器曝严重安全漏洞

John Leyden
2023年2月22日 14:23 UTC

漏洞详情

思科捆绑的反恶意软件扫描器产品中存在安全缺陷，给这家网络巨头的某些产品带来了严重安全风险。

具体而言，ClamAV扫描库中的一个漏洞（追踪为CVE-2023-20032）对思科安全Web设备以及各种版本的思科安全终端（包括Windows、MacOS、Linux和云版本）构成了严重安全威胁。

思科上周发布了关于该漏洞的公告以及受影响产品的补丁。虽然该漏洞尚未遭到主动攻击，但仍建议尽快打补丁。

该分区扫描缓冲区溢出漏洞对易受攻击的技术构成严重风险。

根据思科的安全公告，ClamAV的HFS+分区文件解析器中的漏洞创建了一种机制，可以将恶意代码推送到端点设备或易受攻击的思科安全Web设备实例上。

该漏洞源于缺少缓冲区大小检查，在扫描HFS+分区文件时会造成堆缓冲区溢出风险。攻击者可能能够创建恶意分区文件，然后提供给ClamAV进行扫描。

思科公告解释称：“成功利用此漏洞可能允许攻击者以ClamAV扫描进程的权限执行任意代码，或者使进程崩溃，导致拒绝服务（DoS） condition。”

ClamAV（Clam AntiVirus）是一个最初为Unix开发的免费反恶意软件工具包。该技术十年前通过收购被思科获得，已被移植到包括Linux、macOS和Windows在内的各种操作系统上运行。

该技术的主要用例之一是在邮件服务器上作为服务器端电子邮件恶意软件扫描器。

然而，思科已确认其安全电子邮件网关以及安全电子邮件和Web管理器设备均不易受此特定安全漏洞的影响。

ClamAV的HFS+分区文件解析器中的安全漏洞，以及同一技术的DMG文件解析器中较轻微的远程信息泄露漏洞（追踪为CVE-2023-20052），都是由谷歌工程师Simon Scannell发现的。谷歌于去年8月就ClamAV中的安全漏洞通知了思科。

谷歌在GitHub上发布的公告提供了更严重的CVE-2023-20032漏洞及其潜在利用的完整技术分析。

思科公告解释称：“我们将此漏洞评为高严重性，因为当启用CL_SCAN_ARCHIVE运行扫描时（在大多数配置中默认启用）可能触发缓冲区溢出。”

“此功能通常用于在邮件服务器后端扫描传入电子邮件。因此，远程、外部、未经身份验证的攻击者可以触发此漏洞。”

德国网络安全供应商ONEKEY的技术博客文章总结称，ClamAV中的这两个漏洞说明"文件格式解析是一项困难且复杂的任务"。