ClamAV (Clam AntiVirus)

Продукт
Разработчики: Cisco Systems, Sourcefire
Дата последнего релиза: 2023/02/17
Технологии: ИБ - Антивирусы

Содержание

Основная статья: Антивирусы

ClamAV – кроссплатформенный антивирус с открытым исходным кодом, который преимущественно применяется для проверки почты на общедоступных почтовых серверах.

2023: Выявление уязвимостей CVE-2023-20032 и CVE-2023-20052

17 февраля 2023 года стало известно о том, что в бесплатном антивирусном пакете ClamAV компании Cisco были выявлены две опасные бреши. С их помощью злоумышленник может похитить любые файлы с компьютера жертвы или выполнить на нем произвольный код. Физический доступ к машине не понадобится – эксплуатировать «дыры» можно удаленно. Обе уязвимости обнаружил исследователь в области информационной безопасности Саймон Сканелл (Simon Scanell) из корпорации Google.

Как сообщалось, бреши закрыты специалистами Cisco в ClamAV версий 1.01, 0.150.3 и 0.103.8. Обновленные сборки программы можно загрузить с официального сайта проекта.

ClamAV

Первая из обнаруженных экспертами уязвимостей отслеживается под идентификатором CVE-2023-20032, ее опасность оценена экспертами в 9,8 балла из 10 возможных. Согласно информации, опубликованной на портале Cisco, брешь затрагивает парсер файлов формата HFS+.

Файлы формата HFS+ содержат образы диска на основе файловой системы HFS+ (Hierarchical File System Plus), разработанной Apple и применяемой в операционной системе macOS.TAdviser Security 100: Крупнейшие ИБ-компании в России 59.7 т

Для проверки такого образа на предмет наличия вредоносного ПО антивирусу необходимо его предварительно «распаковать», подобно тому как это происходит с архивами, к примеру, ZIP или RAR.

Парсер образов HFS+ ClamAV – модуль антивируса, который и отвечает за «распаковку» – содержит уязвимость, которая делает возможным выполнение злоумышленником произвольного кода.

Уязвимость вызвана ошибкой разработчиков, которые не предусмотрели проверку размера буфера в куче (heap), что позволяет атакующему записать в область за пределами буфера и вызвать выполнение кода с привилегиями процесса ClamAV или вызывать нештатную остановку самого процесса, тем самым приведя систему в состояние отказа в обслуживании (DoS condition).

Как поясняют в Cisco, для этого хакеру нужно доставить сформированный по особым правилам файл формата HFS+ на систему жертвы. Триггером начала атаки станет проверка антивирусом этого файла.

В блоге ClamAV упомянута и другая брешь – CVE-2023-20052 (опасность – 5,3 балла). Как и CVE-2023-20032, она имеет отношение к парсерсу и допускает утечку любых файлов на машине, к которым у процесса ClamAV имеется доступ. Однако на этот раз «виноват» парсер файлов образов формата DMG, который также в основном используется в операционной системе macOS. Атака начинается со «скармливания» антивирусу специально оформленного DMG-файла [1].

2007: Выкуп проекта

В 2007 г. проект был выкуплен у его ключевых разработчиков компанией Sourcefire, которая впоследствии – в 2013 г. – перешла под контроль Cisco.

Примечания



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Softline (Софтлайн) (203)
  ESET (ИСЕТ Софтвеа) (118)
  Лаборатория Касперского (Kaspersky) (78)
  Инфосистемы Джет (55)
  ДиалогНаука (51)
  Другие (900)

  Национальный аттестационный центр (НАЦ) (4)
  R-Vision (Р-Вижн) (4)
  Card Security (Кард Сек) (4)
  Инфосистемы Джет (3)
  Softline (Софтлайн) (3)
  Другие (53)

  А-Реал Консалтинг (3)
  Лаборатория Касперского (Kaspersky) (2)
  TUV Austria (2)
  Wone IT (Ван Ай Ти Трейд, ранее SoftwareONE Россия, СофтвэрУАН и Awara IT Russia, Авара Ай Ти Солюшенс) (2)
  Национальный аттестационный центр (НАЦ) (2)
  Другие (40)

  Инфосистемы Джет (6)
  Уральский центр систем безопасности (УЦСБ) (4)
  МСС Международная служба сертификации (3)
  Inspect (3)
  Национальный аттестационный центр (НАЦ) (3)
  Другие (41)

  Уральский центр систем безопасности (УЦСБ) (5)
  Инфосистемы Джет (4)
  МСС Международная служба сертификации (2)
  BI.Zone (Безопасная Информационная Зона, Бизон) (2)
  Центр оценки и развития проектного управления (ЦОРПУ) (1)
  Другие (37)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Лаборатория Касперского (Kaspersky) (42, 368)
  ESET (ИСЕТ Софтвеа) (21, 141)
  Доктор Веб (Dr.Web) (17, 61)
  UserGate, Юзергейт (ранее Entensys) (3, 19)
  Fortinet (11, 15)
  Другие (368, 140)

  R-Vision (Р-Вижн) (1, 4)
  Trend Micro (2, 3)
  Лаборатория Касперского (Kaspersky) (2, 3)
  Fortinet (2, 1)
  F.A.C.C.T. (ранее Group-IB в России) (1, 1)
  Другие (3, 3)

  Лаборатория Касперского (Kaspersky) (4, 5)
  А-Реал Консалтинг (1, 3)
  BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
  UserGate, Юзергейт (ранее Entensys) (1, 1)
  R-Vision (Р-Вижн) (1, 1)
  Другие (1, 1)

  Лаборатория Касперского (Kaspersky) (2, 4)
  UserGate, Юзергейт (ранее Entensys) (1, 4)
  CloudLinux (1, 1)
  F.A.C.C.T. (ранее Group-IB в России) (1, 1)
  Другие (0, 0)

  UserGate, Юзергейт (ранее Entensys) (1, 3)
  Лаборатория Касперского (Kaspersky) (2, 2)
  BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
  Другие (0, 0)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Kaspersky Business Space Security - 87
  Kaspersky Endpoint Security - 82
  Kaspersky Security - 81
  ESET NOD32 Business Edition - 51
  Dr.Web Enterprise Security Suite - 35
  Другие 433

  R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
  Trend Micro: Deep Discovery - 2
  Kaspersky Industrial CyberSecurity (KICS) - 2
  Group-IB Threat Hunting Framework (ранее Threat Detection Service, TDS) - 1
  FortiGate - 1
  Другие 5

  Kaspersky Endpoint Security - 3
  А-Реал Консалтинг: Интернет-шлюз ИКС - 3
  Kaspersky ASAP Automated Security Awareness Platform - 1
  UserGate Proxy & Firewall - 1
  Kaspersky Industrial CyberSecurity (KICS) - 1
  Другие 3

  UserGate UTM - 4
  Kaspersky Endpoint Security - 3
  Kaspersky Security - 2
  F.A.C.C.T. Business Email Protection - 1
  CloudLinux Imunify360 - 1
  Другие 0

  UserGate UTM - 3
  Kaspersky Antivirus - 1
  Kaspersky Industrial CyberSecurity (KICS) - 1
  BI.Zone CESP (Cloud Email Security & Protection) - 1
  Другие 0