Cisco Secure Endpoint è affetto da una grave RCE del prodotto embedded ClamAV

Recentemente è stata divulgata una vulnerabilità nella libreria d ClamAV con severity CVSSv3 9.8, in scala da 1 a 10.

ClamAV è un motore antivirus open source per il rilevamento di trojan, virus, malware e altre minacce dannose che viene spesso utilizzato all’interno delle soluzioni dei big vendor come Cisco.

La nuova RCE su ClamAV da 9.8 di score

Questa vulnerabilità è dovuta a un mancato controllo della dimensione del buffer che potrebbe causare un heap overflow. Gli heap overflow vengono solitamente usati dai ricercatori di sicurezza per abusare di programmi contenenti una insufficiente validazione degli input

Heap overflow, o heap overrun, è il nome usato per indicare un buffer overflow che avviene nell’area dati della heap. A differenza dello stack overflow, dove la memoria viene allocata staticamente, nella heap essa viene allocata in modo dinamico dalle applicazioni a run-time e tipicamente contiene dati dei programmi utente.

Ritornano alla vulnerabilità di ClamAV, un utente malintenzionato potrebbe sfruttare questa vulnerabilità inviando un file di partizione HFS+ affinché venga scansionato da ClamAV su un dispositivo interessato. 

Un exploit riuscito potrebbe consentire all’attaccante di eseguire codice arbitrario con i massimi privilegi del processo di scansione ClamAV, oppure arrestare il processo in modo anomalo, determinando una condizione di negazione del servizio (DoS).

Aggiornamento e patch di prodotto

Mentre ClamAV 0.104 ha raggiunto la fine del ciclo di vita in base alla politica ClamAV End of Life (EOL) e non verrà patchato, verranno rese disponibili le patch per ClamAV 0.103.8, 0.105.2 e 1.0.1.

Chiunque invece utilizzi ClamAV 0.104 deve passare a una versione supportata. Tutti gli utenti dovrebbero aggiornare il prodotto il prima possibile per correggere le vulnerabilità di esecuzione di codice in modalità remota scoperte e corretto di recente. 

Relativamente ai prodotti di Cisco, i prodotti vulnerabili sono Cisco Secure Endpoint e le patch sono disponibili tramite il portale Cisco Secure Endpoint.

A seconda della policy configurata, Cisco Secure Endpoint si aggiornerà automaticamente. Le versioni interessate dei client Cisco Secure Endpoint per Cisco Secure Endpoint Private Cloud sono state aggiornate nel repository dei connettori. I clienti riceveranno questi aggiornamenti tramite i normali processi di aggiornamento software.

Diffusione dell’infezione nel mondo

Siamo andati a curiosare per comprendere meglio la diffusione della minaccia. Potrebbero essere affetti da questo bug, dalle analisi condotte su Shodan circa 2643 asset ict.

Relativamente all’Italia, abbiamo rilevato circa 19 host che dovranno essere aggiornati immediatamente.

ù

Il problema da quanto abbiamo avuto modo di rilevare è presente sui sistemi di “Microsoft Corporation”; che risultano essere circa 436 unità.

Gli exploit al momento conosciuti

Al momento non si hanno novità di exploit pubblici, ma ci stiamo cimentando per la realizzazione di un PoC. Qualora avremo novità su questo argomento pubblicheremo un articolo assestante.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.