Vulnérabilité RCE trouvée dans le logiciel antivirus open-source ClamAV
Une vulnérabilité critique d'exécution de code à distance (RCE) dans une bibliothèque logicielle populaire utilisée par un large éventail d'applications a été découverte par des chercheurs. La vulnérabilité CVE-2023-20032 (score CVSS : 9.8) existe dans l'analyseur de fichiers de partition HFS+ de diverses versions de ClamAV, une boîte à outils antimalware multiplateforme gratuite maintenue par Cisco Talos. Cependant, aucune de ces failles n'est activement exploitée.
"Cette vulnérabilité est due à une vérification de la taille du tampon manquante qui peut entraîner une écriture par débordement de tampon de tas. Un attaquant peut exploiter cette vulnérabilité en soumettant un fichier de partition HFS+ modifié à l'analyse de ClamAV sur un périphérique affecté. Une exploitation réussie pourrait permettre à l'attaquant d'exécuter du code arbitraire avec les privilèges du processus d'analyse de ClamAV, ou de faire planter le processus, ce qui entraînerait un déni de service (DoS)", explique Cisco.
Le problème est causé par l'exécution de code à distance dans le composant analyseur de fichiers HFS+. Les versions 1.0.0 et antérieures, 0.105.1 et antérieures, et 0.103.7 et antérieures sont toutes concernées. Le bogue a été découvert et signalé par Simon Scannell, ingénieur en sécurité chez Google.
Pour l'exploiter, les attaquants doivent d'abord obtenir des informations d'identification utilisateur valides, mais une fois qu'ils l'ont fait, ils peuvent utiliser les failles pour élever leurs privilèges à la racine et exécuter des commandes arbitraires sur un appareil affecté. Un exploit de preuve de concept pour les deux est disponible, bien qu'il ne soit pas clair s'il est en ligne ou non.
L'autre faille, CVE-2023-20052 (score CVSS de 5.3), est une injection d'entité externe XML (XXE) qui peut être déclenchée en soumettant des fichiers DMG modifiés pour analyse, ce qui entraîne une fuite d'octets des fichiers lus par ClamAV. Secure Endpoint (anciennement Advanced Malware Protection, AMP), Secure Endpoint Private Cloud et Secure Web Appliance sont également des produits Cisco (anciennement Web Security Appliance) affectés.
Les produits Secure Email Gateway (anciennement Email Security Appliance) et Secure Email and Web Manager (anciennement Security Management Appliance) ne sont pas affectés par cette vulnérabilité.
Cisco a depuis publié des mises à jour qui corrigent la vulnérabilité, ainsi que des correctifs pour des problèmes de haute gravité dans le logiciel Nexus Dashboard et Secure Email Gateway.
Les sources de cet article comprennent un article de TheHackerNews.