Компания Cisco выпустила обновления безопасности для антивирусного движка ClamAV, закрывающие сразу семь уязвимостей, связанных с повреждением памяти и отказом в обслуживании. Наибольший риск эксплуатации, оценённый как высокий (CVSS 7.5), затрагивает версии ClamAV, используемые в составе Cisco Secure Endpoint Connector для Windows. Владельцам Linux и macOS угроза оценивается как средняя из-за пониженных привилегий процесса сканирования.
Детали уязвимостей
Проблемы были обнаружены как независимыми исследователями, так и автоматизированными системами, включая совместную работу специалистов из Trail of Bits, Anthropic, Tencent Xuanwu Lab, Trend Micro’s Zero Day Initiative и других. Среди найденных дефектов - ошибки выхода за границы буфера, некорректное управление временными ресурсами и неправильная проверка границ при разборе файлов различных форматов. Всего опубликовано восемь CVE, однако одно из них (CVE-2026-20216) относится к парсеру InstallShield и работает по иному механизму.
Наибольшую опасность представляют шесть уязвимостей класса memory corruption, связанные с разбором PE-файлов, а также архивов FSG, 7z, ALZ и DMG и упаковщика PESpin. При сканировании специально созданного файла злоумышленник может вызвать записи за пределами выделенной области памяти, что приводит к аварийному завершению процесса ClamAV. В результате антивирус прекращает работу, и устройство может потребовать ручной перезагрузки для восстановления. Хотя в прошлом аналогичные дефекты в ClamAV на Windows приводили к удалённому выполнению кода, в данном случае Cisco не обнаружила таких свидетельств. Тем не менее на 32-битных системах риск выше - там возможны целочисленные переполнения при обработке DMG-образов.
Отдельно стоит уязвимость CVE-2026-20216 в парсере InstallShield. Она связана с неправильным управлением временными ресурсами при сканировании. Отправив скомпрометированный установочный файл InstallShield, атакующий может исчерпать системные ресурсы и принудительно завершить процесс сканирования - без повреждения памяти, но с тем же эффектом DoS.
Общий вектор атак для всех уязвимостей одинаков: злоумышленник, не имеющий аутентификации, отправляет вредоносный файл на проверку. Для успешной эксплуатации не требуется никаких дополнительных привилегий или взаимодействия с пользователем. Поскольку ClamAV часто используется в почтовых шлюзах и прокси-серверах, файл может быть передан через электронную почту или веб-трафик. Однако в продуктах Cisco Secure Email Gateway и Secure Web Gateway эти уязвимости не подтверждены - они используют собственную реализацию ClamAV.
Cisco уже выпустила исправления для всех затронутых продуктов. Для Cisco Secure Endpoint Connector под Windows необходима версия 8.6.2, для Linux - 1.29.0, для macOS - 1.27.2. Владельцам частного облака Secure Endpoint Private Cloud достаточно обновить репозиторий коннекторов до версии 4.2.8 или новее - обновления доставляются автоматически. Обходных путей защиты не существует, поэтому установка свежих версий остаётся единственной мерой.
Примечательно, что рейтинг опасности сильно различается в зависимости от платформы. На Windows процесс ClamAV работает в привилегированном контексте безопасности, поэтому его сбой может повлиять на стабильность всей системы. На Linux и macOS процесс сканирования изолирован, и его аварийное завершение не затрагивает другие компоненты - сбой приводит лишь к временной приостановке антивирусной проверки. Это объясняет разницу в уровнях критичности: High для Windows, Medium для остальных.
Обнаружение такого количества однотипных уязвимостей в парсерах файловых форматов ClamAV указывает на системную проблему в коде. Использование автоматизированных средств поиска багов (Atuin, Calif.io) говорит о том, что разработчики всё чаще привлекают fuzzing-инструменты для проверки безопасности. Тем не менее в июльском бюллетене Cisco перечислены дефекты, найденные разными командами независимо, что подтверждает широкий вектор атак на антивирусное ядро.
Учитывая, что ClamAV является основным открытым антивирусным движком для Unix-подобных систем и часто встраивается в корпоративные решения для фильтрации трафика, подобные уязвимости требуют немедленного внимания администраторов. Даже при среднем уровне риска под Linux злоумышленник может временно остановить проверку вредоносных вложений, открывая окно для проникновения других атак. На Windows же отказ сканирования без возможности быстрого восстановления нередко вынуждает перезагружать рабочие станции, что приводит к потере производительности.
Cisco не сообщает о случаях активной эксплуатации данных уязвимостей на момент публикации. Однако исследователи из Tencent Xuanwu Lab, Trail of Bits и другие уже предоставили компании прототипы эксплойтов, поэтому патчи выпущены превентивно. Пользователям рекомендуется как можно скорее обновить коннекторы до указанных версий.
Ссылки