ClamAV 오픈 소스 안티바이러스 소프트웨어에서 발견된 RCE 취약점
다양한 애플리케이션에서 사용되는 인기 있는 소프트웨어 라이브러리의 심각한 원격 코드 실행(RCE) 취약점이 연구자들에 의해 발견되었습니다. CVE-2023-20032 취약점(CVSS 점수: 9.8)은 Cisco Talos에서 유지 보수하는 무료 크로스 플랫폼 안티맬웨어 툴킷인 ClamAV의 다양한 버전의 HFS+ 파티션 파일 파서에서 존재합니다. 그러나 이 결함 중 어느 것도 적극적으로 악용되지는 않습니다.
"이 취약점은 버퍼 크기 확인이 누락되어 힙 버퍼 오버플로 쓰기가 발생할 수 있기 때문입니다. 공격자는 이 취약점을 악용하여 영향을 받는 디바이스에서 ClamAV가 검사할 수 있도록 조작된 HFS+ 파티션 파일을 제출할 수 있습니다. 익스플로잇에 성공하면 공격자는 ClamAV 검사 프로세스의 권한으로 임의의 코드를 실행하거나 프로세스를 중단시켜 서비스 거부(DoS) 상태를 초래할 수 있습니다."라고 시스코는 설명합니다.
이 문제는 HFS+ 파일 파서 구성 요소의 원격 코드 실행으로 인해 발생합니다. 1.0.0 이하 버전, 0.105.1 이하 버전, 0.103.7 이하 버전이 모두 영향을 받습니다. 이 버그는 Google 보안 엔지니어인 Simon Scannell이 발견하여 보고했습니다.
공격자가 이 취약점을 악용하려면 먼저 유효한 사용자 자격 증명을 획득해야 하지만, 획득한 후에는 이 취약점을 사용하여 루팅 권한을 상승시키고 영향을 받는 디바이스에서 임의의 명령을 실행할 수 있습니다. 두 가지 모두에 대한 개념 증명 익스플로잇을 사용할 수 있지만 온라인 상태인지 여부는 불분명합니다.
다른 결함인 CVE-2023-20052(CVSS 점수 5.3)는 XML 외부 엔티티(XXE) 인젝션으로, 검사를 위해 조작된 DMG 파일을 제출함으로써 트리거될 수 있으며, 그 결과 ClamAV가 읽는 파일에서 바이트가 유출될 수 있습니다. 보안 엔드포인트(이전의 Advanced Malware Protection, AMP), 보안 엔드포인트 프라이빗 클라우드, 보안 웹 어플라이언스도 영향을 받는 Cisco 제품(이전의 웹 보안 어플라이언스)입니다.
보안 이메일 게이트웨이(이전의 이메일 보안 어플라이언스) 및 보안 이메일 및 웹 관리자(이전의 보안 관리 어플라이언스) 제품은 이 취약점의 영향을 받지 않습니다.
이후 시스코는 해당 취약점을 해결하는 업데이트와 Nexus 대시보드 소프트웨어 및 보안 이메일 게이트웨이의 심각도가 높은 문제에 대한 패치를 발표했습니다.
이 글의 출처는 TheHackerNews의 기사입니다.