기술 지원
문서
로그인
문의하기
ClamAV 오픈 소스 안티바이러스 소프트웨어에서 발견된 RCE 취약점
2023년 2월 28일 TuxCare 홍보팀
다양한 애플리케이션에서 사용되는 인기 있는 소프트웨어 라이브러리의 심각한 원격 코드 실행(RCE) 취약점이 연구자들에 의해 발견되었습니다. CVE-2023-20032 취약점(CVSS 점수: 9.8)은 Cisco Talos에서 유지 보수하는 무료 크로스 플랫폼 안티맬웨어 툴킷인 ClamAV의 다양한 버전의 HFS+ 파티션 파일 파서에서 존재합니다. 그러나 이 결함 중 어느 것도 적극적으로 악용되지는 않습니다.
"이 취약점은 버퍼 크기 확인이 누락되어 힙 버퍼 오버플로 쓰기가 발생할 수 있기 때문입니다. 공격자는 이 취약점을 악용하여 영향을 받는 디바이스에서 ClamAV가 검사할 수 있도록 조작된 HFS+ 파티션 파일을 제출할 수 있습니다. 익스플로잇에 성공하면 공격자는 ClamAV 검사 프로세스의 권한으로 임의의 코드를 실행하거나 프로세스를 중단시켜 서비스 거부(DoS) 상태를 초래할 수 있습니다."라고 시스코는 설명합니다.
이 문제는 HFS+ 파일 파서 구성 요소의 원격 코드 실행으로 인해 발생합니다. 1.0.0 이하 버전, 0.105.1 이하 버전, 0.103.7 이하 버전이 모두 영향을 받습니다. 이 버그는 Google 보안 엔지니어인 Simon Scannell이 발견하여 보고했습니다.
공격자가 이 취약점을 악용하려면 먼저 유효한 사용자 자격 증명을 획득해야 하지만, 획득한 후에는 이 취약점을 사용하여 루팅 권한을 상승시키고 영향을 받는 디바이스에서 임의의 명령을 실행할 수 있습니다. 두 가지 모두에 대한 개념 증명 익스플로잇을 사용할 수 있지만 온라인 상태인지 여부는 불분명합니다.
다른 결함인 CVE-2023-20052(CVSS 점수 5.3)는 XML 외부 엔티티(XXE) 인젝션으로, 검사를 위해 조작된 DMG 파일을 제출함으로써 트리거될 수 있으며, 그 결과 ClamAV가 읽는 파일에서 바이트가 유출될 수 있습니다. 보안 엔드포인트(이전의 Advanced Malware Protection, AMP), 보안 엔드포인트 프라이빗 클라우드, 보안 웹 어플라이언스도 영향을 받는 Cisco 제품(이전의 웹 보안 어플라이언스)입니다.
보안 이메일 게이트웨이(이전의 이메일 보안 어플라이언스) 및 보안 이메일 및 웹 관리자(이전의 보안 관리 어플라이언스) 제품은 이 취약점의 영향을 받지 않습니다.
이후 시스코는 해당 취약점을 해결하는 업데이트와 Nexus 대시보드 소프트웨어 및 보안 이메일 게이트웨이의 심각도가 높은 문제에 대한 패치를 발표했습니다.
이 글의 출처는 TheHackerNews의 기사입니다.
