Cisco, ClamAV açık kaynaklı antivirüs motorunda bildirilen ve hassas cihazlarda uzaktan kod yürütülmesine yol açabilecek kritik bir kusuru gidermek için güvenlik güncellemeleri yayınladı.
CVE-2023-20032 (CVSS puanı: 9.8) olarak izlenen sorun, HFS+ dosya ayrıştırıcı bileşeninde bulunan bir uzaktan kod yürütme durumuyla ilgilidir.
Kusur, 1.0.0 ve öncesi, 0.105.1 ve öncesi ve 0.103.7 ve öncesi sürümleri etkiler. Google güvenlik mühendisi Simon Scannell, hatayı keşfedip bildirdiği için kredilendirildi.
Cisco Talos bir danışma belgesinde “Bu güvenlik açığı, bir yığın arabellek taşması yazmaya neden olabilecek eksik bir arabellek boyutu kontrolünden kaynaklanmaktadır.” “Bir saldırgan, etkilenen bir cihazda ClamAV tarafından taranmak üzere hazırlanmış bir HFS+ bölümleme dosyası göndererek bu güvenlik açığından yararlanabilir.”
Zayıflığın başarılı bir şekilde kullanılması, bir rakibin ClamAV tarama işlemiyle aynı ayrıcalıklara sahip rasgele kod çalıştırmasına veya işlemi çökerterek hizmet reddi (DoS) durumuna neden olabilir.
Ağ ekipmanı, aşağıdaki ürünlerin savunmasız olduğunu söyledi –
- Güvenli Uç Nokta, önceden Uç Noktalar için Gelişmiş Kötü Amaçlı Yazılım Koruması (AMP) (Windows, macOS ve Linux)
- Güvenli Uç Nokta Özel Bulutu ve
- Secure Web Appliance, eski adıyla Web Security Appliance
Ayrıca, güvenlik açığının Secure Email Gateway (eski adıyla Email Security Appliance) ve Secure Email and Web Manager (eski adıyla Security Management Appliance) ürünlerini etkilemediğini doğruladı.
Ayrıca Cisco tarafından yamalanan, ClamAV’ın DMG dosya ayrıştırıcısında (CVE-2023-20052, CVSS puanı: 5.3) bulunan ve kimliği doğrulanmamış, uzaktaki bir saldırgan tarafından istismar edilebilecek bir uzaktan bilgi sızıntısı güvenlik açığıdır.
Cisco, “Bu güvenlik açığı, XML harici varlık enjeksiyonuyla sonuçlanabilecek XML varlık ikamesinin etkinleştirilmesinden kaynaklanmaktadır” dedi. “Bir saldırgan, etkilenen bir cihazda ClamAV tarafından taranmak üzere hazırlanmış bir DMG dosyası göndererek bu güvenlik açığından yararlanabilir.”
CVE-2023-20052’nin Cisco Secure Web Appliance’ı etkilemediğini belirtmekte fayda var. Bununla birlikte, her iki güvenlik açığı da ClamAV 0.103.8, 0.105.2 ve 1.0.1 sürümlerinde ele alınmıştır.
Cisco ayrıca Cisco Nexus Dashboard’u (CVE-2023-20014, CVSS puanı: 7.5) etkileyen bir hizmet reddi (DoS) güvenlik açığını ve Email Security Appliance (ESA) ile Secure Email ve Secure Email ve Web Yöneticisi (CVE-2023-20009 ve CVE-2023-20075, CVSS puanları: 6,5).