Savunmasız teknolojiler için kritik bir risk oluşturan hata için yama yayınlandı
Bir paket kötü amaçlı yazılımdan koruma tarayıcı ürünündeki bir güvenlik açığı, ağ devi Cisco’nun bazı ürünleri için ciddi bir güvenlik riski oluşturdu.
Daha özel olarak, ClamAV tarama kitaplığındaki (CVE-2023-20032 olarak izlenen) bir güvenlik açığı, Cisco’nun Güvenli Web Cihazı ve Cisco Secure Endpoint’in çeşitli sürümleri (Windows, MacOS, Linux ve bulut dahil) için kritik bir güvenlik riski oluşturdu.
Cisco, geçen hafta etkilenen ürünler için yamaların yanı sıra güvenlik açığı hakkında bir danışma belgesi yayınladı. Güvenlik açığı aktif saldırı altında olmasa da yama uygulanması yine de önerilir.
Bölüm tarama arabelleği taşması güvenlik açığı, savunmasız teknolojiler için kritik bir risk oluşturuyor.
En son ağ güvenliği haberlerini ve analizlerini takip edin
Cisco’nun güvenlik danışma belgesinde açıklandığı gibi, ClamAV’nin HFS+ bölüm dosya ayrıştırıcısındaki bir güvenlik açığı, kötü amaçlı kodu uç nokta cihazlarına veya Cisco’nun Güvenli Web Cihazının savunmasız örneklerine itmek için bir mekanizma oluşturur.
Arabellek boyutu kontrolünün olmamasından kaynaklanan güvenlik açığı, HFS+ bölüm dosyasının taranmasında yığın arabellek taşması riski oluşturur. Saldırgan, ClamAV tarafından taranması için sunmadan önce kötü amaçlı bir bölüm dosyası oluşturabilir.
Cisco’nun danışma belgesi, “Başarılı bir istismar, saldırganın ClamAV tarama işleminin ayrıcalıklarıyla rastgele kod yürütmesine izin verebilir veya işlemi çökerterek hizmet reddi (DoS) durumuna neden olabilir” diye açıklıyor.
Kullanım durumu
ClamAV (Clam AntiVirus), orijinal olarak Unix için geliştirilmiş ücretsiz bir yazılım, kötü amaçlı yazılımdan koruma araç takımıdır. Cisco’nun 10 yıl önce bir satın almayla satın aldığı teknoloji, Linux, macOS ve Windows gibi çeşitli işletim sistemlerinde çalışacak şekilde portlanmıştır.
Teknolojinin ana kullanım durumlarından biri, sunucu tarafında e-postada kötü amaçlı yazılım tarayıcısı olarak posta sunucularındadır.
Ancak Cisco, ne Güvenli E-posta Ağ Geçidi ne de Güvenli E-posta ve Web Yöneticisi cihazlarının bu özel güvenlik hatasına karşı savunmasız olmadığını onayladı.
Gardiyanları kim koruyor?
Potansiyel suçluların etkilenen cihazlara girmesine izin veren bir güvenlik yardımcı programında bulunan herhangi bir güvenlik açığı, güvenliği artırmak için tasarlanan araçların potansiyel saldırganlara maruz kalan saldırı yüzeyini nasıl artırabileceğini gösterir.
ClamAV’ın HFS+ bölüm dosyası ayrıştırıcısındaki güvenlik açığı ve aynı teknolojinin DMG dosya ayrıştırıcısındaki daha az uzaktan bilgi sızıntısı güvenlik açığı (CVE-2023-20052 olarak izlenir), Google mühendisi Simon Scannell tarafından keşfedildi. Google, geçtiğimiz Ağustos ayında ClamAV’deki güvenlik açıklarını Cisco’ya bildirdi.
GitHub’da yayınlanan bir Google danışma belgesi, daha ciddi olan CVE-2023-20032 güvenlik açığının ve potansiyel istismarının tam bir teknik özetini sunar.
“Bir tarama çalıştırıldığında arabellek taşması tetiklenebileceğinden, güvenlik açığını yüksek önem derecesine göre derecelendiriyoruz. CL_SCAN_ARCHIVE çoğu yapılandırmada varsayılan olarak etkindir.
“Bu özellik genellikle posta sunucularının arka ucunda gelen e-postaları taramak için kullanılır. Bu nedenle, uzaktaki, harici, kimliği doğrulanmamış bir saldırgan bu güvenlik açığını tetikleyebilir,” diye açıklıyor Cisco’nun danışma belgesi.
Alman siber güvenlik satıcısı ONEKEY tarafından hazırlanan teknik bir blog yazısı, ClamAV’deki iki kusurun “dosya formatı ayrıştırmanın zor ve karmaşık bir çaba olduğunu” gösterdiği sonucuna varıyor.
BU YAZIYI BEĞENDİNİZ Mİ? Yeni bültenimize kaydolun – Daily Swig Seri Halinden Kaldırıldı