Cisco выпускает исправление для уязвимости, угрожающей антивирусному сканированию
Cisco выпустила обновления безопасности для устранения уязвимости в ClamAV, позволяющей злоумышленникам вызвать отказ в обслуживании (Denial of Service, DoS).
CVE-2025-20128 связана с переполнением буфера в куче (heap-based buffer overflow) в процессе расшифровки данных Object Linking and Embedding 2 (OLE2). Неаутентифицированный атакующий может использовать ошибку для создания DoS-условий на уязвимых устройствах.
Если уязвимость будет успешно эксплуатирована, процесс антивирусного сканирования ClamAV может завершиться сбоем, что приведёт к задержке или полному прекращению дальнейших операций сканирования. В компании пояснили, что для атаки достаточно отправить файл с вредоносным содержимым OLE2 на сканирование. Успешное выполнение атаки приведёт к завершению процесса сканирования, создавая DoS-условие. При этом стабильность системы в целом не пострадает.
Уязвимость затрагивает программное обеспечение Secure Endpoint Connector, которое используется на устройствах с Linux, macOS и Windows. Инструмент предназначен для передачи журналов и событий Cisco Secure Endpoint в SIEM-системы.
Несмотря на то, что в Cisco не зафиксировали случаев эксплуатации уязвимости в реальных условиях, в компании подтвердили наличие опубликованного PoC-кода.
В октябре IntelBroker заявил о взломе систем Cisco и получении доступа к исходным кодам, сертификатам, учетным данным, конфиденциальным документам, ключам шифрования и другим материалам. Среди утечек якобы оказались данные, связанные с продуктами крупных компаний.
CVE-2025-20128 связана с переполнением буфера в куче (heap-based buffer overflow) в процессе расшифровки данных Object Linking and Embedding 2 (OLE2). Неаутентифицированный атакующий может использовать ошибку для создания DoS-условий на уязвимых устройствах.
Если уязвимость будет успешно эксплуатирована, процесс антивирусного сканирования ClamAV может завершиться сбоем, что приведёт к задержке или полному прекращению дальнейших операций сканирования. В компании пояснили, что для атаки достаточно отправить файл с вредоносным содержимым OLE2 на сканирование. Успешное выполнение атаки приведёт к завершению процесса сканирования, создавая DoS-условие. При этом стабильность системы в целом не пострадает.
Уязвимость затрагивает программное обеспечение Secure Endpoint Connector, которое используется на устройствах с Linux, macOS и Windows. Инструмент предназначен для передачи журналов и событий Cisco Secure Endpoint в SIEM-системы.
Несмотря на то, что в Cisco не зафиксировали случаев эксплуатации уязвимости в реальных условиях, в компании подтвердили наличие опубликованного PoC-кода.
В октябре IntelBroker заявил о взломе систем Cisco и получении доступа к исходным кодам, сертификатам, учетным данным, конфиденциальным документам, ключам шифрования и другим материалам. Среди утечек якобы оказались данные, связанные с продуктами крупных компаний.