Спецпроекты

Безопасность Стратегия безопасности Техника

Ошибки разработчиков антивируса Cisco позволяет хакерам воровать любые файлы с ПК, которые он защищает

Компания Cisco опубликовала новые выпуски бесплатного антивирусного пакета ClamAV. В них закрыты недавно обнаруженные уязвимости, приводящие к удаленному выполнению кода и утечке файлов. Все они связаны с ошибками, допущенными программистами, в парсерах файлов образов, которые в основном используются в macOS.

Новые «дыры» в ПО Cisco

Бесплатный антивирусный пакет ClamAV компании Cisco содержит две опасные бреши. С их помощью злоумышленник может похитить любые файлы с компьютера жертвы или выполнить на нем произвольный код. Физический доступ к машине не понадобится – эксплуатировать «дыры» можно удаленно.

Обе уязвимости обнаружил исследователь в области информационной безопасности Саймон Сканелл (Simon Scanell) из корпорации Google.

ClamAV – кроссплатформенный антивирус с открытым исходным кодом, который преимущественно применяется для проверки почты на общедоступных почтовых серверах. В 2007 г. проект был выкуплен у его ключевых разработчиков компанией Sourcefire, которая впоследствии – в 2013 г. – перешла под контроль Cisco.

Новые бреши закрыты специалистами Cisco в ClamAV версий 1.01, 0.150.3 и 0.103.8. Обновленные сборки программы можно загрузить с официального сайта проекта.

Cisco закрыла опасные уязвимости в ClamAV

Гораздо меньше, чем пользователям ClamAV, повезло владельцам маршрутизаторов Cisco моделей RV016, RV042, RV042G и RV082. В них, как ранее сообщил CNews, в начале 2023 г. была выявлена уязвимость критического уровня, которую в компании исправлять отказались за истечением срока поддержки оборудования.

Подробнее об уязвимостях

Первая из обнаруженных экспертами уязвимостей отслеживается под идентификатором CVE-2023-20032, ее опасность оценена экспертами в 9,8 балла из 10 возможных. Согласно информации, опубликованной на портале Cisco, брешь затрагивает парсер файлов формата HFS+.

Файлы формата HFS+ содержат образы диска на основе файловой системы HFS+ (Hierarchical File System Plus), разработанной Apple и применяемой в операционной системе macOS.

Для проверки такого образа на предмет наличия вредоносного ПО антивирусу необходимо его предварительно «распаковать», подобно тому как это происходит с архивами, к примеру, ZIP или RAR.

Парсер образов HFS+ ClamAV – модуль антивируса, который и отвечает за «распаковку» – содержит уязвимость, которая делает возможным выполнение злоумышленником произвольного кода.

Уязвимость вызвана ошибкой разработчиков, которые не предусмотрели проверку размера буфера в куче (heap), что позволяет атакующему записать в область за пределами буфера и вызвать выполнение кода с привилегиями процесса ClamAV или вызывать нештатную остановку самого процесса, тем самым приведя систему в состояние отказа в обслуживании (DoS condition).

Как поясняют в Cisco, для этого хакеру нужно доставить сформированный по особым правилам файл формата HFS+ на систему жертвы. Триггером начала атаки станет проверка антивирусом этого файла.

В блоге ClamAV упомянута и другая брешь – CVE-2023-20052 (опасность – 5,3 балла). Как и CVE-2023-20032, она имеет отношение к парсерсу и допускает утечку любых файлов на машине, к которым у процесса ClamAV имеется доступ. Однако на этот раз «виноват» парсер файлов образов формата DMG, который также в основном используется в операционной системе macOS. Атака начинается со «скармливания» антивирусу специально оформленного DMG-файла.

Превращая антивирус в оружие

ClamAV – далеко не первая антивирусная программа, которую, как выяснилось, можно не только использовать для защиты компьютера, но и превратить в подсобный инструмент взломщика.

Так, в декабре 2022 г. CNews сообщил о том, что специалист ИБ-компании SafeBreach Labs Ор Яир (Or Yair) показал, как Microsoft Defender, Avast, AVG и SentinelOne EDR могут помочь злоумышленнику с легкостью и безвозвратно уничтожить любые файлы на целевой системе, в том числе системные.

В августе 2022 г. CNews писал о неизвестных злоумышленниках – партнерах RaaS-шифровальщика LockBit 3.0, которые взяли на вооружение инструмент командной строки во встроенном в операционную систему Windows антивирусе – Microsoft Defender – для подгрузки в систему маяков Cobalt Strike.

Дмитрий Степанов

Короткая ссылка