 |
Cisco ha lanzado actualizaciones de seguridad para solucionar un fallo crítico notificado en el motor antivirus de código abierto ClamAV que podría conducir a la ejecución remota de código en dispositivos susceptibles. Identificado como CVE-2023-20032 (puntuación CVSS: 9,8), el problema está relacionado con un caso de ejecución remota de código en el componente analizador de archivos HFS+. |
El fallo afecta a las versiones 1.0.0 y anteriores, 0.105.1 y anteriores, y 0.103.7 y anteriores. Simon Scannell, ingeniero de seguridad de Google, ha sido el encargado de descubrir y notificar el fallo.
"Esta vulnerabilidad se debe a una falta de comprobación del tamaño del búfer que puede dar lugar a una escritura de desbordamiento del búfer heap", afirma Cisco Talos en un aviso. "Un atacante podría explotar esta vulnerabilidad enviando un archivo de partición HFS+ manipulado para ser escaneado por ClamaV en un dispositivo afectado".
La explotación exitosa de la debilidad podría permitir a un adversario ejecutar código arbitrario con los mismos privilegios que los del proceso de escaneo de ClamAV, o bloquear el proceso, resultando en una condición de denegación de servicio (DoS).
El equipo de red dijo que los siguientes productos son vulnerables -
- Secure Endpoint, anteriormente Advanced Malware Protection (AMP) for Endpoints (Windows, macOS y Linux)
- Secure Endpoint Private Cloud, y
- Secure Web Appliance, anteriormente Web Security Appliance.
Además, ha confirmado que la vulnerabilidad no afecta a los productos Secure Email Gateway (antes Email Security Appliance) y Secure Email and Web Manager (antes Security Management Appliance).
Cisco también ha parcheado una vulnerabilidad de fuga de información remota en el analizador de archivos DMG de ClamAV (CVE-2023-20052, puntuación CVSS: 5,3) que podría ser aprovechada por un atacante remoto no autenticado.
"Esta vulnerabilidad se debe a la habilitación de la sustitución de entidades XML que puede dar lugar a la inyección de entidades externas XML", señaló Cisco. "Un atacante podría explotar esta vulnerabilidad enviando un archivo DMG crafteado para ser escaneado por ClamaV en un dispositivo afectado".
Vale la pena señalar que CVE-2023-20052 no afecta a Cisco Secure Web Appliance. Dicho esto, ambas vulnerabilidades se han solucionado en las versiones 0.103.8, 0.105.2 y 1.0.1 de ClamAV.
Cisco también resolvió por separado una vulnerabilidad de denegación de servicio (DoS) que afectaba a Cisco Nexus Dashboard (CVE-2023-20014, puntuación CVSS: 7,5) y otros dos fallos de escalada de privilegios e inyección de comandos en Email Security Appliance (ESA) y Secure Email and Web Manager (CVE-2023-20009 y CVE-2023-20075, puntuación CVSS: 6,5).
Fuente: https://thehackernews.com/2023/02/critical-rce-vulnerability-discovered.html