PoC в сети: ошибка в Cisco ClamAV останавливает защиту устройств

Cisco ClamAV DoS OLE2 Buffer Overflow
PoC в сети: ошибка в Cisco ClamAV останавливает защиту устройств
Cisco ClamAV DoS OLE2 Buffer Overflow

Cisco выпускает исправление для уязвимости, угрожающей антивирусному сканированию.

image

Cisco выпустила обновления безопасности для устранения уязвимости в ClamAV, позволяющей злоумышленникам вызвать отказ в обслуживании (Denial of Service, DoS).

CVE-2025-20128 связана с переполнением буфера в куче (heap-based buffer overflow) в процессе расшифровки данных Object Linking and Embedding 2 (OLE2). Неаутентифицированный атакующий может использовать ошибку для создания DoS-условий на уязвимых устройствах.

Если уязвимость будет успешно эксплуатирована, процесс антивирусного сканирования ClamAV может завершиться сбоем, что приведёт к задержке или полному прекращению дальнейших операций сканирования. В компании пояснили, что для атаки достаточно отправить файл с вредоносным содержимым OLE2 на сканирование. Успешное выполнение атаки приведёт к завершению процесса сканирования, создавая DoS-условие. При этом стабильность системы в целом не пострадает.

Уязвимость затрагивает программное обеспечение Secure Endpoint Connector, которое используется на устройствах с Linux, macOS и Windows. Инструмент предназначен для передачи журналов и событий Cisco Secure Endpoint в SIEM-системы.

Несмотря на то, что в Cisco не зафиксировали случаев эксплуатации уязвимости в реальных условиях, в компании подтвердили наличие опубликованного PoC-кода.

В октябре IntelBroker заявил о взломе систем Cisco и получении доступа к исходным кодам, сертификатам, учетным данным, конфиденциальным документам, ключам шифрования и другим материалам. Среди утечек якобы оказались данные, связанные с продуктами крупных компаний.

В ноябре стало известно, что с сентября хакеры Volt Typhoon активно взламывают устройства в Азии и создают новую сеть заражённых устройств. Основная цель — устройства Cisco RV320/325 и Netgear ProSafe. За 37 дней Volt Typhoon смогла заразить почти 30% всех доступных в интернете устройств Cisco RV320/325. Эксперты пока не могут точно сказать, какие именно уязвимости используются, но предполагают, что проблема в том, что для устаревших устройств больше нет обновлений.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь