Podría permitir que un adversario ejecute código arbitrario
Cisco ha implementado actualizaciones de seguridad para abordar una falla crítica reportada en el motor antivirus de código abierto ClamAV que podría conducir a la ejecución remota de código (RCE) en dispositivos susceptibles.
Registrado como CVE-2023-20032 (puntuación CVSS: 9,8), el problema se relaciona con un caso de ejecución remota de código que reside en el componente analizador de archivos HFS+.
La falla afecta a las versiones 1.0.0 y anteriores, 0.105.1 y anteriores, y 0.103.7 y anteriores. Al ingeniero de seguridad de Google, Simon Scannell, se le atribuye el descubrimiento y la notificación del error.
"Esta vulnerabilidad se debe a la falta de una verificación del tamaño del búfer que puede resultar en una escritura de desbordamiento de la pila del búfer", dijo Cisco Talos en un aviso. "Un atacante podría explotar esta vulnerabilidad enviando un archivo de partición HFS+ diseñado para que ClamAV lo escanee en un dispositivo afectado".
La explotación exitosa de la debilidad podría permitir que un adversario ejecute código arbitrario con los mismos privilegios que el proceso de escaneo de ClamAV, o bloquee el proceso, lo que resultaría en una condición de denegación de servicio (DoS).
El equipo de red dijo que son vulnerables los siguientes productos:
• Secure Endpoint, anteriormente Advanced Malware Protection (AMP) para Endpoints (Windows, macOS y Linux)
• Nube privada segura para terminales, y
• Dispositivo web seguro, anteriormente Dispositivo de seguridad web
Además, confirmó que la vulnerabilidad no afecta a los productos Secure Email Gateway (anteriormente Email Security Appliance) y Secure Email and Web Manager (anteriormente Security Management Appliance).
Cisco también parchó una vulnerabilidad de fuga de información remota en el analizador de archivos DMG de ClamAV (CVE-2023-20052, puntaje CVSS: 5.3) que podría ser explotada por un atacante remoto no autenticado.
"Esta vulnerabilidad se debe a la habilitación de la sustitución de entidades XML que puede resultar en la inyección de entidades externas XML", señaló Cisco. "Un atacante podría explotar esta vulnerabilidad al enviar un archivo DMG diseñado para que ClamAV lo escanee en un dispositivo afectado".
Vale la pena señalar que CVE-2023-20052 no afecta a Cisco Secure Web Appliance. Dicho esto, ambas vulnerabilidades se han solucionado en las versiones 0.103.8, 0.105.2 y 1.0.1 de ClamAV.
Cisco también resolvió por separado una vulnerabilidad de denegación de servicio (DoS) que afectaba a Cisco Nexus Dashboard (CVE-2023-20014, puntuación CVSS: 7,5) y otras dos fallas de escalada de privilegios e inyección de comandos en Email Security Appliance (ESA) y Secure Email and Web Manager (CVE-2023-20009 y CVE-2023-20075, puntajes CVSS: 6.5).
