Cisco ha implementato aggiornamenti di sicurezza per risolvere un difetto critico segnalato nell’antivirus open source ClamAV che potrebbe portare all’esecuzione di codice in modalità remota su dispositivi sensibili.
Tracciato come CVE-2023-20032 (punteggio CVSS: 9.8), il problema si riferisce a un caso di esecuzione di codice remoto che risiede nel componente del parser di file HFS+.
Il difetto interessa le versioni 1.0.0 e precedenti, 0.105.1 e precedenti e 0.103.7 e precedenti. L’ingegnere della sicurezza di Google Simon Scannell è stato accreditato di aver scoperto e segnalato il bug.
Qual è il problema dell’antivirus per Linux ClamAV
“Questa vulnerabilità è dovuta a un controllo della dimensione del buffer mancante che potrebbe causare una scrittura di overflow del buffer dell’heap“, ha affermato Cisco Talos in un rapporto. “Un malintenzionato potrebbe sfruttare questa vulnerabilità inviando un file di partizione HFS+ predisposto per essere scansionato da ClamAV su un dispositivo interessato.”
Lo sfruttamento riuscito della falla di sicurezza potrebbe consentire a un “attaccante” di eseguire codice malevolo con gli stessi privilegi del processo di scansione ClamAV o arrestare il processo, determinando una condizione di denial-of-service (DoS).
L’apparecchiatura di rete ha le seguenti vulnerabilità:
- Secure Endpoint, precedentemente Advanced Malware Protection (AMP) per endpoint (Windows, macOS e Linux)
- Secure Endpoint Private Cloud
- Secure Web Appliance, precedentemente Web Security Appliance
È stato inoltre confermato che la vulnerabilità non ha alcun impatto sui prodotti Secure Email Gateway (precedentemente noti come Email Security Appliance) e Secure Email and Web Manager (precedentemente conosciuti come Security Management Appliance).
Anche la patch di Cisco ha una vulnerabilità di perdita di informazioni remote nel parser di file DMG di ClamAV (CVE-2023-20052, punteggio CVSS: 5.3) che potrebbe essere sfruttata da un hacker non autenticato tramite connessione da remoto.
“Questa vulnerabilità è dovuta all’abilitazione della sostituzione di entità XML che può comportare l’injection di entità esterne XML“, ha notato Cisco. “Un utente malintenzionato potrebbe sfruttare questa vulnerabilità inviando un file DMG creato per essere scansionato da ClamAV su un dispositivo interessato.”
Vale la pena sottolineare che CVE-2023-20052 non influisce su Cisco Secure Web Appliance. Detto questo, entrambe le vulnerabilità sono state risolte nelle versioni ClamAV 0.103.8, 0.105.2 e 1.0.1.
Cisco ha inoltre risolto separatamente una vulnerabilità di negazione del servizio (DoS) che interessava Cisco Nexus Dashboard (CVE-2023-20014, punteggio CVSS: 7.5) e altri due difetti di escalation dei privilegi e iniezione di comandi in Email Security Appliance (ESA) e Secure Email e Web Manager (CVE-2023-20009 e CVE-2023-20075, punteggio CVSS: 6,5).
Il paradosso sicurezza dei sistemi operativi Linux, virus ed antivirus
Su questo discorso di “Linux ed antivirus” ci sarebbe da fare una considerazione.
I sostenitori accaniti di Linux, fautori di una presunta causa anti-windows sostengono che “i sistemi operativi Linux sono immuni da virus”, “puoi andare sul sicuro” e cose così.
Peccato che se non hai abitudini di navigazione corrette puoi rischiare problemi come phishing, ransomware o altro, con qualsiasi sistema operativo: sia esso Windows, Linux, MacOS o ChromeOS, c’è poco da fare.
Oltretutto se esistono antivirus per Linux, tra cui ClamAV qui menzionato, forse questa famiglia di sistemi operativi tanto “immune” non è; alla fine i sistemi operativi Linux sono solo meno diffusi rispetto a Windows o a MacOS, riducendo di molto la possibilità di scaricare accidentalmente un qualche malware.
Il paradosso sta qui: se esistono svariate distribuzioni di Linux e non esiste un sistema “univoco” di scansione che manda i dati ad una “centrale”, come si fa a dire quanti e quali sono di preciso i virus e i malware che circolano sulle varie distribuzioni di Linux? Semplice: non si può.
Purtroppo non siamo a conoscenze di bug zero-day, di malware, etc anche perché cambiano a seconda della distribuzione che si usa, come logica conseguenza non esistono dati certi in materia.
