В Банке данных угроз (BDU) зарегистрирована новая критическая уязвимость, затрагивающая популярный антивирусный движок с открытым исходным кодом ClamAV. Уязвимость, получившая идентификаторы BDU:2026-02545 и CVE-2020-37167, связана с ошибкой в интерпретаторе байт-кода ClamBC. Эксперты оценивают её как критическую, поскольку удалённый злоумышленник может использовать эту брешь для выполнения произвольного кода или организации атаки на отказ в обслуживании (Denial of Service, DoS).
Детали уязвимости
Суть проблемы кроется в категории уязвимостей, известной как неверное управление генерацией кода (CWE-94). По сути, ошибка в обработке специально созданных файлов в компоненте ClamBC позволяет внедрить и выполнить произвольные команды. Это предоставляет атакующему практически полный контроль над уязвимой системой. Примечательно, что уязвимость затрагивает все версии ClamAV до 1.5.2. Более того, под угрозой оказываются стабильные ветки дистрибутивов Debian GNU/Linux 11, 12 и 13, в репозитории которых содержатся уязвимые пакеты антивируса.
Оценка по методологии CVSS подчёркивает серьёзность угрозы. Базовая оценка CVSS 3.1 достигает 9.8 баллов из 10. Такие высокие баллы присваиваются из-за того, что для эксплуатации уязвимости не требуются привилегии (PR:N) или действия пользователя (UI:N). Следовательно, атака может быть проведена полностью удалённо через сеть (AV:N) с низкой сложностью (AC:L). Важно отметить, что в открытом доступе уже существует рабочий эксплойт, что значительно повышает актуальность риска. Сообщество специалистов по безопасности подтверждает, что злоумышленники могут активно использовать эту брешь в реальных атаках.
В ответ на угрозу разработчики ClamAV, компания Cisco Talos, оперативно выпустили патч. Исправление было внесено в код ещё в 2020 году. Соответственно, основным и самым эффективным способом устранения уязвимости является немедленное обновление ClamAV до версии 1.5.2 или выше. Администраторам систем на базе Debian необходимо проверить актуальность установленных пакетов и применить обновления безопасности из официальных репозиториев.
В условиях, когда немедленное обновление по какой-либо причине невозможно, эксперты рекомендуют следовать общим принципам безопасной настройки. В частности, можно руководствоваться документами ФСТЭК России, которые содержат рекомендации по усилению защиты операционных систем семейства Linux. Эти меры, хотя и не устраняют уязвимость напрямую, могут помочь снизить общую поверхность атаки и минимизировать потенциальный ущерб. Однако они являются лишь временным решением, поскольку полноценная защита достигается исключительно установкой патча.
Данный инцидент в очередной раз демонстрирует важность своевременного управления обновлениями даже для такого инфраструктурного программного обеспечения, как антивирусные сканеры. ClamAV широко используется в почтовых шлюзах, веб-сканерах и файловых хранилищах, что делает его привлекательной целью для киберпреступников. Уязвимость в самом средстве защиты может стать отправной точкой для масштабной компрометации. Поэтому системным администраторам и специалистам по информационной безопасности необходимо безотлагательно провести аудит своих систем на предмет наличия уязвимых версий ClamAV и предпринять корректирующие действия.
Ссылки
- https://bdu.fstec.ru/vul/2026-02545
- https://www.cve.org/CVERecord?id=CVE-2020-37167
- https://www.exploit-db.com/exploits/47687
- https://dbugs.ptsecurity.com/vulnerability/PT-2026-7942
- https://github.com/Cisco-Talos/clamav/commit/cd2f2975b93277de7f74464d48adb378375a305f
