0
0
A Cisco lançou atualizações de segurança para vários de seus produtos de rede e segurança empresarial, corrigindo (entre outras coisas):
- Uma vulnerabilidade crítica (CVE-2023-20032) na biblioteca de varredura ClamAV usada por seu Secure Endpoint, Secure Endpoint Private Cloud e Secure Web Appliance, e
- Vulnerabilidades de alto risco (CVE-2023-20009, CVE-2023-20075) que afetam o Email Security Appliance e o Cisco Secure Email and Web Manager, código de exploração de prova de conceito (PoC) para o qual já está disponível.
Sobre as vulnerabilidades
CVE-2023-20032 é uma vulnerabilidade no analisador de arquivos de partição HFS+ de várias versões do ClamAV, um kit de ferramentas antimalware multiplataforma gratuito mantido pela Cisco Talos.
“Essa vulnerabilidade ocorre devido a uma verificação de tamanho de buffer ausente que pode resultar em uma gravação de estouro de buffer de heap. Um invasor pode explorar essa vulnerabilidade enviando um arquivo de partição HFS+ criado para ser verificado pelo ClamAV em um dispositivo afetado. Uma exploração bem-sucedida pode permitir que o invasor execute código arbitrário com os privilégios do processo de varredura do ClamAV, ou então trave o processo, resultando em uma condição de negação de serviço (DoS)”, explicou Cisco .
Versões do ClamAV incluindo a correção – e uma correção para CVE-2023-20052, uma falha de vazamento de informações – foram lançadas na quarta-feira, mas como a biblioteca também é usada nas soluções Secure Web Appliance e Secure Endpoint e não há solução alternativa, esses também precisam ser atualizados.
A boa notícia é que nenhuma dessas falhas está sendo explorada ativamente.
Mas os administradores encarregados dos dispositivos de segurança de e-mail e das instâncias do Cisco Secure Email e Web Manager devem implementar as atualizações de segurança rapidamente, para corrigir uma escalação de privilégio (CVE-2023-20009) e vulnerabilidade de injeção de comando (CVE-2023-20075).
Explorá-los exige que os invasores ponham as mãos em credenciais de usuário válidas, mas, depois de obtê-las, eles podem explorar as falhas para elevar seus privilégios de root e executar comandos arbitrários em um dispositivo afetado. Conforme observado anteriormente, uma exploração PoC para ambos está disponível (embora não esteja claro se está online ou não).
FONTE: HELPNET SECURITY