سیسکو بهروزرسانیهای امنیتی را برای رفع نقص حیاتی گزارش شده در موتور آنتی ویروس متن باز ClamAV ارائه کرده است که میتواند منجر به اجرای کد از راه دور در دستگاههای حساس شود.
این مشکل که بهعنوان CVE-2023-20032 ردیابی میشود (امتیاز CVSS: 9.8)، به یک مورد از اجرای کد از راه دور مربوط میشود که در مؤلفه تجزیهکننده فایل HFS+ وجود دارد.
این نقص بر نسخههای ۱٫۰٫۰ و قبلتر، ۰٫۱۰۵٫۱ و نسخههای قبلی و ۰٫۱۰۳٫۷ و نسخههای قدیمیتر تأثیر میگذارد. مهندس امنیت گوگل، سایمون اسکنل، مسئول کشف و گزارش این باگ است.
Cisco Talos در مشاوره ای گفت: “این آسیب پذیری به دلیل عدم بررسی اندازه بافر است که ممکن است منجر به نوشتن سرریز بافر پشته شود.” یک مهاجم می تواند با ارسال یک فایل پارتیشن HFS+ ساخته شده برای اسکن شدن توسط ClamAV در دستگاه آسیب دیده از این آسیب پذیری سوء استفاده کند.
بهرهبرداری موفقیتآمیز از ضعف میتواند به دشمن اجازه دهد تا کد دلخواه را با همان امتیازات فرآیند اسکن ClamAV اجرا کند، یا فرآیند را از کار بیندازد و منجر به وضعیت انکار سرویس (DoS) شود.
تجهیزات شبکه گفت محصولات زیر آسیب پذیر هستند –
- Secure Endpoint، که قبلاً با نام Advanced Malware Protection شناخته میشد برای سیستم عاملهای (ویندوز،مک و لینوکس)
- Secure Endpoint Private Cloud
- Secure Web Appliance که قبلاً Web Security Appliance نام داشت.
همچنین تأیید کرد که این آسیبپذیری محصولات Secure Email Gateway (که قبلاً Email Security Appliance نام داشت) و Secure Email و Web Manager (که قبلاً Security Management Appliance نام داشت) را تحت تأثیر قرار نمیدهد.
همچنین توسط Cisco یک آسیبپذیری نشت اطلاعات از راه دور در تجزیهکننده فایل DMG ClamAV (CVE-2023-20052، امتیاز CVSS: 5.3) وصله شده است که میتواند توسط یک مهاجم غیرقانونی و از راه دور مورد سوء استفاده قرار گیرد.
سیسکو خاطرنشان کرد: “این آسیب پذیری به دلیل فعال کردن جایگزینی موجودیت XML است که ممکن است منجر به تزریق موجودیت خارجی XML شود.” یک مهاجم می تواند با ارسال یک فایل DMG دستکاری شده برای اسکن شدن توسط ClamAV در دستگاه آسیب دیده از این آسیب پذیری سوء استفاده کند.
شایان ذکر است که CVE-2023-20052 بر Cisco Secure Web Appliance تأثیر نمی گذارد. گفتنی است هر دو آسیبپذیری در نسخههای ClamAV 0.103.8، ۰٫۱۰۵٫۲ و ۱٫۰٫۱ برطرف شدهاند.
سیسکو همچنین به طور جداگانه یک آسیبپذیری انکار سرویس (DoS) را برای محصول سیسکو Nexus Dashboard (CVE-2023-20014، امتیاز CVSS: 7.5) و همچنین دو نقض مربوط به ارتقای امتیاز و تزریق دستور در(EAS)Email Security Appliance و Secure Email و Web Manager (CVE-2023-20009 و CVE-2023-20075، امتیازات CVSS: 6.5) را برطرف کرد.
