Descubren vulnerabilidad crítica RCE en el software antivirus de código abierto ClamAV

Cisco ha implementado actualizaciones de seguridad para abordar una vulnerabilidad crítica reportada en el motor antivirus de código abierto ClamAV, que podría conducir a la ejecución remota de código en dispositivos susceptibles.

Rastreada como CVE-2023-20032 (puntuación CVSS: 9.8), la vulnerabilidad se relaciona con un caso de ejecución remota de código que reside en el componente analizador de archivos HSF+.

La vulnerabilidad afecta a las versiones 1.0.0 y anteriores, 0.105.1 y anteriores, y 0.103.7 y anteriores. Al ingeniero de seguridad de Google, Simon Scannell, se le atribuye el descubrimiento y la notificación del error.

«Esta vulnerabilidad se debe a la falta de una verificación del tamaño del búfer que puede resultar en una escritura de desbordamiento del búfer del montón. Un atacante podría explotar esta vulnerabilidad enviando un archivo de partición HFS+ diseñado para que ClamAV lo escanee en un dispositivo afectado», dijo Cisco Talos.

La explotación exitosa de la vulnerabilidad podría permitir que un atacante ejecute código arbitrario con los mismos privilegios que el proceso de escaneo de ClamAV, o bloquee el proceso, lo que resultaría en una condición de denegación de servicio (DoS).

El equipo de red dijo que los siguientes productos son vulnerables:

  • Secure Endpoint, anteriormente Advanced Malware Protection (AMP) para Endpoints (Windows, macOS y Linux)
  • Nube privada segura para terminales
  • Dispositivo web seguro, anteriormente Dispositivo de Seguridad Web

Además, confirmó que la vulnerabilidad no afecta a los productos Secure Email Gateway (antes Email Security Appliance) y Secure Email and Web Manager (antes Security Management Appliance).

Cisco también corrigió una vulnerabilidad de fuga de información remota en el analizador de archivos DMG de ClamAV (CVE-2023-20052, puntaje CVSS: 5.3) que podría ser explotada por un atacante remoto no autenticado.

«Esta vulnerabilidad se debe a la habilitación de la sustitución de entidades XML que puede resultar en la inyección de entidades externas XML. Un atacante podría explotar esta vulnerabilidad al enviar un archivo DMG diseñado para que ClamAV lo escanee en un dispositivo afectado», dijo Cisco.

Cabe mencionar que CVE-2023-20052 no afecta a Cisco Secure Web Appliance. Ambas vulnerabilidades se solucionaron en las versiones 0.103.0, 0.105.2 y 1.0.1 de ClamAV.

Cisco también resolvió por separado una vulnerabilidad de denegación de servicio (DoS) que afectaba a Cisco Nexus Dashboard (CVE-2023-20014, puntaje CVSS: 7.5) y otras dos vulnerabilidades de escalada de privilegios e inyección de comandos en Email Security Appliance (ESA) y Secure Email y Administrador Web (CVE-2023-20009 y CVE-2023-20075, puntaje CVSS: 6.5).

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *