Se detecta una vulnerabilidad RCE en el antivirus de código abierto ClamAV
Investigadores han descubierto una vulnerabilidad crítica de ejecución remota de código (RCE) en una popular biblioteca de software utilizada por una amplia gama de aplicaciones. La vulnerabilidad CVE-2023-20032 (puntuación CVSS: 9,8) existe en el analizador de archivos de partición HFS+ de varias versiones de ClamAV, un conjunto de herramientas antimalware multiplataforma gratuito mantenido por Cisco Talos. Sin embargo, ninguno de los fallos se explota activamente.
"Esta vulnerabilidad se debe a una comprobación de tamaño de búfer faltante que puede resultar en una escritura de desbordamiento de búfer de heap. Un atacante podría explotar esta vulnerabilidad enviando un archivo de partición HFS+ manipulado para ser escaneado por ClamAV en un dispositivo afectado. Un exploit exitoso podría permitir al atacante ejecutar código arbitrario con los privilegios del proceso de exploración ClamAV, o bien bloquear el proceso, lo que resulta en una denegación de servicio (DoS) condición", explicó Cisco.
El problema está causado por la ejecución remota de código en el componente analizador de archivos HFS+. Están afectadas las versiones 1.0.0 y anteriores, 0.105.1 y anteriores, y 0.103.7 y anteriores. El fallo fue descubierto e informado por el ingeniero de seguridad de Google Simon Scannell.
Para explotarlo, los atacantes deben primero obtener credenciales de usuario válidas, pero una vez que lo hacen, pueden utilizar las fallas para elevar sus privilegios a root y ejecutar comandos arbitrarios en un dispositivo afectado. Existe una prueba de concepto para ambos fallos, aunque no está claro si está en línea o no.
El otro fallo, CVE-2023-20052 (puntuación CVSS de 5,3), es una inyección de entidad externa XML (XXE) que puede activarse enviando archivos DMG manipulados para su análisis, lo que provoca una fuga de bytes de los archivos leídos por ClamAV. Secure Endpoint (antes Advanced Malware Protection, AMP), Secure Endpoint Private Cloud y Secure Web Appliance también son productos Cisco afectados (antes Web Security Appliance).
Los productos Secure Email Gateway (anteriormente Email Security Appliance) y Secure Email and Web Manager (anteriormente Security Management Appliance) no están afectados por la vulnerabilidad.
Desde entonces, Cisco ha publicado actualizaciones que solucionan la vulnerabilidad, así como parches para problemas de alta gravedad en el software Nexus Dashboard y Secure Email Gateway.
Las fuentes de este artículo incluyen un artículo en TheHackerNews.