Vulnerabilidad de desbordamiento de búfer que afecta a ciertos productos de Cisco

CISCO notificó una vulnerabilidad identificada como CVE-2023-20032 con puntuación CVSS de 9.8, presente en la biblioteca de escaneo de ClamAV.

Esta vulnerabilidad se debe a que falta una comprobación del tamaño del búfer que puede provocar una escritura de desbordamiento de búfer de almacenamiento dinámico.

Un atacante podría aprovechar esta vulnerabilidad enviando un archivo de partición HFS+ especialmente diseñado para ser escaneado por ClamAV en un dispositivo afectado.

Una explotación exitosa podría permitir que el atacante ejecute código arbitrario con los privilegios del proceso de escaneo ClamAV, o bloquear el proceso, lo que resultaría en una condición de denegación de servicio (DoS). Lo que resultaría en el compromiso completo del sistema afectado.

La clasificación de impacto de seguridad para esta vulnerabilidad es crítica solo para plataformas basadas en Windows porque esas plataformas ejecutan el proceso de escaneo de ClamAV en un contexto de seguridad privilegiado, las plataformas que se ven gravemente afectadas incluyen Cisco Secure Endpoint Connector para Windows.

En plataformas como Linux y Mac la clasificación de impacto de seguridad es media, las plataformas afectadas incluyen Cisco Secure Web Appliance y Secure Endpoint Connector para Linux y Mac.

Cisco Secure Endpoint Private Cloud en sí no se ve afectado por esta vulnerabilidad. Sin embargo, el software Secure Endpoint Connector que se distribuye desde el dispositivo se ve afectado.

Versiones afectadas

  • Secure Web Appliance: versiones anteriores a 15.0.0-254
  • Secure Endpoint Private Cloud: versiones anteriores a 3.6.0
  • Secure Endpoint para Windows: versiones anteriores a 8.1.5
  • Secure Endpoint para macOS: versiones anteriores a 1.21.1
  • Secure Endpoint para Linux: versiones anteriores a 1.20.2

Productos confirmados no vulnerables

Cisco ha confirmado que esta vulnerabilidad no afecta a los siguientes productos de Cisco:

  • Secure Email Gateway, anteriormente Email Security Appliance
  • Secure Email and Web Manager, anteriormente Security Management Appliance

Workaround

  • No hay soluciones alternativas que aborden esta vulnerabilidad.

Recomendaciones

  • Instalar la actualización correspondiente desde el sitio web del proveedor lo antes posible.

Referencias