RCE-Schwachstelle in der Open-Source-Antiviren-Software ClamAV gefunden
Forscher haben eine kritische Schwachstelle für Remote Code Execution (RCE) in einer beliebten Software-Bibliothek entdeckt, die von einer Vielzahl von Anwendungen genutzt wird. Die Sicherheitslücke CVE-2023-20032 (CVSS-Score: 9.8) besteht im HFS+-Partitionsdateiparser verschiedener Versionen von ClamAV, einem kostenlosen, plattformübergreifenden Antimalware-Toolkit, das von Cisco Talos betreut wird. Keine der Schwachstellen wird jedoch aktiv ausgenutzt.
"Diese Schwachstelle ist auf eine fehlende Überprüfung der Puffergröße zurückzuführen, die zu einem Heap-Pufferüberlauf führen kann. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine manipulierte HFS+-Partitionsdatei zum Scannen durch ClamAV auf einem betroffenen Gerät einreicht. Ein erfolgreicher Angriff könnte es dem Angreifer ermöglichen, beliebigen Code mit den Rechten des ClamAV-Scan-Prozesses auszuführen oder den Prozess zum Absturz zu bringen, was zu einem Denial-of-Service (DoS)-Zustand führt", erklärte Cisco.
Das Problem wird durch Remotecodeausführung in der HFS+-Dateiparser-Komponente verursacht. Die Versionen 1.0.0 und früher, 0.105.1 und früher sowie 0.103.7 und früher sind alle betroffen. Der Fehler wurde vom Google-Sicherheitsingenieur Simon Scannell entdeckt und gemeldet.
Um sie auszunutzen, müssen sich Angreifer zunächst gültige Benutzeranmeldeinformationen verschaffen. Sobald sie dies jedoch getan haben, können sie die Schwachstellen nutzen, um ihre Rechte auf Root zu erhöhen und beliebige Befehle auf einem betroffenen Gerät auszuführen. Ein Proof-of-Concept-Exploit für beide Schwachstellen ist verfügbar, allerdings ist unklar, ob er online ist oder nicht.
Bei der anderen Schwachstelle, CVE-2023-20052 (CVSS-Score 5.3), handelt es sich um eine XML External Entity (XXE)-Injektion, die durch das Einreichen von manipulierten DMG-Dateien zum Scannen ausgelöst werden kann, was zu einem Byte-Leck in den von ClamAV gelesenen Dateien führt. Secure Endpoint (früher Advanced Malware Protection, AMP), Secure Endpoint Private Cloud und Secure Web Appliance sind ebenfalls betroffene Cisco-Produkte (früher Web Security Appliance).
Die Produkte Secure Email Gateway (ehemals Email Security Appliance) und Secure Email and Web Manager (ehemals Security Management Appliance) sind von der Sicherheitslücke nicht betroffen.
Cisco hat inzwischen Updates herausgegeben, die die Schwachstelle beheben, sowie Patches für hochgradig gefährliche Probleme in der Nexus Dashboard Software und im Secure Email Gateway.
Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.