Multiple vulnerabilità ClamAV di Cisco: come gli attaccanti remoti possono causare un blocco del servizio antivirus

Multiple vulnerabilità ClamAV di Cisco: come gli attaccanti remoti possono causare un blocco del servizio antivirus

Immagina di avere un sistema di sicurezza che si blocca improvvisamente mentre dovresti controllare se un file è pericoloso. Questo è esattamente ciò che accade con le nuove vulnerabilità di ClamAV di Cisco. Attaccanti remoti possono sfruttare questi errori per far crashare il processo di scansione antivirus, lasciando il tuo dispositivo senza protezione fino al riavvio del servizio. La soluzione è semplice e immediata: aggiorna immediatamente il tuo connettore Cisco Secure Endpoint alla versione corretta per Windows, Linux o Mac. Non aspettare che un file danneggiato comprometta la tua sicurezza: l’azione rapida è la tua migliore difesa contro questi attacchi che mirano a interrompere le operazioni di scansione e causare un blocco del servizio (DoS).

Le vulnerabilità riguardano un motore antivirus fondamentale utilizzato in molte piattaforme aziendali e personali. Quando un attaccante riesce a inviare un file malformato specifico, il sistema antivirus ClamAV non riesce a gestirlo correttamente e si interrompe. Questo non significa che il computer intero si blocca, ma che la funzione di protezione antivirus si ferma, creando un vuoto di sicurezza temporaneo. In questo stato, il dispositivo è esposto a potenziali malware perché non può più analizzare i file in arrivo. Il problema è particolarmente rilevante per chi utilizza i connettori di Cisco Secure Endpoint, che sono distribuiti da Cisco Secure Endpoint Private Cloud. Anche se la cloud privata non è direttamente vulnerabile, i connettori che ne derivano sì, e devono essere aggiornati per evitare rischi.

La gravità dell’impatto varia in base al sistema operativo utilizzato. Su Windows, le vulnerabilità sono classificate come ad alto impatto (CVSS 7.5), poiché il processo di scansione ClamAV viene eseguito con privilegi elevati. Un crash in questo caso può destabilizzare direttamente l’endpoint, rendendo il sistema non responsivo e richiedendo spesso un riavvio manuale. Per gli utenti di Linux e macOS, l’impatto è classificato come medio: il processo ClamAV viene eseguito con privilegi ridotti, quindi il crash interrompe principalmente la scansione del malware senza destabilizzare l’intero sistema operativo. Tuttavia, anche in questi casi, la mancanza di protezione antivirus rappresenta un rischio significativo per la sicurezza dei dati e delle risorse aziendali.

Cisco ha chiarito che non esistono soluzioni pratiche o workaround per queste vulnerabilità. L’unico modo duraturo per mitigare il rischio è applicare gli aggiornamenti di sicurezza rilasciati dal vendor. Gli aggiornamenti sono disponibili tramite il portale Cisco Secure Endpoint e gli utenti interessati sono invitati a passare alle versioni corrette per Windows, Linux e Mac come parte dei normali cicli di aggiornamento del software. Le squadre di sicurezza dovrebbero anche esaminare gli ID di bug di Cisco e le entrate CVE associate per ottenere numeri di build specifici e istruzioni di implementazione, garantendo che gli endpoint abbiano risorse sufficienti prima di procedere con l’aggiornamento.

Le vulnerabilità sono radicate in una gestione errata della memoria, controlli di limite e gestione delle risorse in diversi parser di formati di file ClamAV. Questi includono formati comuni come PE, FSG, 7z, InstallShield, PESpin, ALZ e DMG. Un attaccante non autenticato può creare file malformati in questi formati e consegnarli a un endpoint tramite email, download web o condivisione di file, in modo che ClamAV analizza il contenuto. Quando il motore tenta di analizzare il file malvagio, errori come scritture fuori dai limiti, overread di memoria e overflow di interi su piattaforme 32-bit possono causare la terminazione del processo ClamAV e il consumo temporaneo di risorse del sistema, risultando in una condizione DoS.

Cisco ha pubblicato l’avviso di sicurezza cisco-sa-clamav-88cFYyxR il 1 luglio 2026, segnalando che vulnerabilità simili di parsing ClamAV hanno precedentemente interrotto le operazioni di scansione e, in alcuni casi, causato fallimenti delle scansioni. In passato, vulnerabilità di questo tipo hanno permesso l’execution di codice remoto quando i privilegi del processo e le protezioni della piattaforma erano più deboli, sottolineando il rischio di errori in motori di sicurezza che processano regolarmente input non fidati. Cisco nota che l’impatto varia in base al prodotto e all’implementazione della piattaforma, ma conferma l’esposizione per il Connettore Secure Endpoint su Linux, Mac e Windows, tutti i quali utilizzano componenti ClamAV vulnerabili.

I connettori Windows ricevono una classificazione Alta (CVSS 7.5): un’esecuzione riuscita può rendere l’endpoint non responsivo, richiedendo intervento manuale come un riavvio. I connettori per Linux e Mac ricevono una classificazione media: l’esecuzione terminerà comunque il motore di scansione e rallenterà o bloccare la detection del malware, ma generalmente non destabilizza l’intero sistema operativo. Le precedenti avvisi regionali e le notice dei vendor su problemi DoS di ClamAV mostrano un modello coerente: una volta che il processo di scansione si blocca, il dispositivo perde la copertura antivirus fino al riavvio del servizio o alla recupero del sistema.

Technical Deep Dive

Le vulnerabilità tecniche di ClamAV di Cisco sono legate a errori specifici nella gestione della memoria e nei controlli di limite. La vulnerabilità principale (CVE-2025-20128) risiede nella routine di decrittazione OLE2 (Object Linking and Embedding 2) di ClamAV e è causata da un underflow di intero in un controllo di limite che permette un overflow di buffer heap. Un attaccante può sfruttare questa vulnerabilità presentando un file manipolato contenente contenuto OLE2 per essere analizzato da ClamAV su un dispositivo vulnerabile. Un exploit riuscito permette all’attaccante di terminare il processo di scansione ClamAV, risultando in una condizione DoS sul software interessato.

Una seconda vulnerabilità (CVE-2025-20234) è legata alla gestione del formato Universal Disk Format (UDF) e si manifesta durante un overread di memoria durante l’analisi di file UDF. Un attaccante può sfruttare questa vulnerabilità presentando un file manipolato contenente contenuto UDF per essere analizzato da ClamAV. Un exploit riuscito permette all’attaccante di terminare il processo di scansione ClamAV, risultando in una condizione DoS. Questa vulnerabilità ha una classificazione di impatto di sicurezza medio (SIR) e affecta piattaforme Linux, Mac e Windows. L’esecuzione della vulnerabilità può causare il crash del processo di scansione, rallentando o prevenendo ulteriori operazioni di scansione, ma la stabilità del sistema complessivo non è influenzata.

Le versioni di ClamAV vulnerabili includono 1.0.0 e precedenti, 0.105.1 e precedenti, e 0.103.7 e precedenti. Le versioni corrette sono disponibili per i connettori di Cisco Secure Endpoint: Linux 1.26.1, Mac 1.26.1, Windows 7.5.21 e 8.4.3. Il Cisco PSIRT non è a conoscenza di annunci pubblici o uso malevolo della vulnerabilità descritta nell’avviso. Tuttavia, esperti segnalano la disponibilità di codice exploit proof-of-concept (PoC) per CVE-2025-20128, che aumenta il rischio di sfruttamento reale. In febbraio 2023, Cisco ha già corretto una vulnerabilità critica (CVE-2023-20032, CVSS 9.8) nel parser HFS+, che permetteva execution di codice remoto o DoS. Questa vulnerabilità attuale, con CVSS 7.5 per Windows, rappresenta un rischio significativo per la disponibilità dei servizi di sicurezza antivirus.

Gli ID di bug di Cisco associati includono CSCwo45640 e l’avviso cisco-sa-clamav-ole2-H549rphA. Le squadre di sicurezza dovrebbero monitorare le entrate CVE per aggiornamenti futuri e garantire che gli endpoint abbiano risorse sufficienti prima di applicare gli aggiornamenti. La mancanza di workaround rende l’applicazione degli aggiornamenti di sicurezza l’unico metodo duraturo di mitigazione. L’implementazione dei connettori aggiornati tramite il portale Cisco Secure Endpoint assicura che le versioni corrette siano distribuite automaticamente in base alle policy configurate, riducendo il rischio di esposizione a vulnerabilità sfruttabili.

Fonte: https://cybersecuritynews.com/multiple-clamav-vulnerabilities/

Torna in alto