Ngày 17 tháng 2 năm 2023Ravie LakshmananQuản trị viên hệ thống / bảo mật điểm cuối
Cisco đã triển khai các bản cập nhật bảo mật để giải quyết một lỗ hổng nghiêm trọng được báo cáo trong công cụ chống vi-rút mã nguồn mở ClamAV có thể dẫn đến việc thực thi mã từ xa trên các thiết bị dễ bị tấn công.
Được theo dõi là CVE-2023-20032 (điểm CVSS: 9,8), sự cố liên quan đến trường hợp thực thi mã từ xa nằm trong thành phần trình phân tích cú pháp tệp HFS+.
Lỗ hổng ảnh hưởng đến các phiên bản 1.0.0 trở về trước, 0.105.1 trở về trước và 0.103.7 trở về trước. Kỹ sư bảo mật của Google, Simon Scannell, đã được ghi nhận là người đã phát hiện và báo cáo lỗi này.
“Lỗ hổng này là do kiểm tra kích thước bộ đệm bị thiếu có thể dẫn đến lỗi ghi tràn bộ đệm heap,” Cisco Talos cho biết trong một lời khuyên. “Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi tệp phân vùng HFS+ được tạo thủ công để ClamAV quét trên thiết bị bị ảnh hưởng.”
Việc khai thác thành công điểm yếu có thể cho phép kẻ thù chạy mã tùy ý với các đặc quyền giống như đặc quyền của quy trình quét ClamAV hoặc làm hỏng quy trình, dẫn đến tình trạng từ chối dịch vụ (DoS).
Thiết bị mạng cho biết các sản phẩm sau dễ bị tấn công –
Điểm cuối an toàn, trước đây là Bảo vệ phần mềm độc hại nâng cao (AMP) cho điểm cuối (Windows, macOS và Linux) Đám mây riêng an toàn cho điểm cuối và Công cụ web an toàn, trước đây là Công cụ bảo mật web
Nó xác nhận thêm rằng lỗ hổng bảo mật không ảnh hưởng đến các sản phẩm Cổng Email Bảo mật (trước đây là Công cụ Bảo mật Email) và Email và Trình quản lý Web Bảo mật (trước đây là Công cụ Quản lý Bảo mật).
Cũng được vá bởi Cisco là lỗ hổng rò rỉ thông tin từ xa trong trình phân tích tệp DMG của ClamAV (CVE-2023-20052, điểm CVSS: 5.3) có thể bị khai thác bởi kẻ tấn công từ xa, không được xác thực.
“Lỗ hổng này là do kích hoạt thay thế thực thể XML có thể dẫn đến việc đưa vào thực thể bên ngoài XML,” Cisco lưu ý. “Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi tệp DMG được tạo thủ công để ClamAV quét trên thiết bị bị ảnh hưởng.”
Cần chỉ ra rằng CVE-2023-20052 không ảnh hưởng đến Thiết bị Web Bảo mật của Cisco. Điều đó nói rằng, cả hai lỗ hổng đã được xử lý trong các phiên bản ClamAV 0.103.8, 0.105.2 và 1.0.1.
Cisco cũng đã giải quyết riêng lỗ hổng từ chối dịch vụ (DoS) ảnh hưởng đến Bảng điều khiển Nexus của Cisco (CVE-2023-20014, điểm CVSS: 7,5) và hai lỗ hổng leo thang đặc quyền và chèn lệnh khác trong Công cụ bảo mật email (ESA) và Email bảo mật và Trình quản lý web (CVE-2023-20009 và CVE-2023-20075, điểm CVSS: 6,5).
