Cisco ha implementado actualizaciones de seguridad para abordar una falla crítica reportada en el motor antivirus de código abierto ClamAV que podría conducir a la ejecución remota de código en dispositivos susceptibles.
Rastreado como CVE-2023-20032 (puntuación CVSS: 9.8), el problema se relaciona con un caso de ejecución remota de código que reside en el componente analizador de archivos HFS +.
La falla afecta a las versiones 1.0.0 y anteriores, 0.105.1 y anteriores, y 0.103.7 y anteriores. El ingeniero de seguridad de Google, Simon Scannell, ha sido acreditado con el descubrimiento y reporte del error.
“Esta vulnerabilidad se debe a una comprobación del tamaño del búfer faltante que puede resultar en una escritura de desbordamiento de búfer del montón”, dijo Cisco Talos en un aviso. “Un atacante podría explotar esta vulnerabilidad enviando un archivo de partición HFS + diseñado para ser escaneado por ClamAV en un dispositivo afectado”.
La explotación exitosa de la vulnerabilidad podría permitir a un adversario ejecutar código arbitrario con los mismos privilegios que el proceso de escaneo de ClamAV, o bloquear el proceso, lo que resultaría en una condición de denegación de servicio (DoS).
El equipo de red dijo que los siguientes productos son vulnerables:
- Secure Endpoint, anteriormente Advanced Malware Protection (AMP) para endpoints (Windows, macOS y Linux)
- Nube privada de punto final segura, y
- Secure Web Appliance, anteriormente Web Security Appliance
Además, confirmó que la vulnerabilidad no afecta a los productos Secure Email Gateway (anteriormente Email Security Appliance) y Secure Email and Web Manager (anteriormente Security Management Appliance).
Cisco también parcheó una vulnerabilidad de fuga remota de información en el analizador de archivos DMG de ClamAV (CVE-2023-20052, puntuación CVSS: 5.3) que podría ser explotada por un atacante remoto no autenticado.
“Esta vulnerabilidad se debe a la habilitación de la sustitución de entidades XML que puede resultar en la inyección de entidades externas XML”, señaló Cisco. “Un atacante podría explotar esta vulnerabilidad enviando un archivo DMG diseñado para ser escaneado por ClamAV en un dispositivo afectado”.
Vale la pena señalar que CVE-2023-20052 no afecta a Cisco Secure Web Appliance. Dicho esto, ambas vulnerabilidades se han solucionado en las versiones 0.103.8, 0.105.2 y 1.0.1 de ClamAV.
Cisco también resolvió por separado una vulnerabilidad de denegación de servicio (DoS) que afectaba a Cisco Nexus Dashboard (CVE-2023-20014, puntuación CVSS: 7.5) y otras dos fallas de escalada de privilegios e inyección de comandos en Email Security Appliance (ESA) y Secure Email and Web Manager (CVE-2023-20009 y CVE-2023-20075, puntuaciones CVSS: 6.5).
