Lỗ hổng CVE nghiêm trọng ClamAV: Cập nhật bản vá khẩn cấp

Lỗ hổng CVE nghiêm trọng ClamAV: Cập nhật bản vá khẩn cấp

Nhiều lỗ hổng nghiêm trọng trong ClamAV engine có thể dẫn đến tình trạng từ chối dịch vụ (DoS) trên các triển khai Cisco Secure Endpoint Connector. Kẻ tấn công có thể lợi dụng các lỗ hổng này để làm sập tiến trình quét virus của ClamAV, gây ảnh hưởng đến khả năng bảo vệ của hệ thống. Các lỗ hổng này được phân loại dựa trên ảnh hưởng cụ thể cho từng nền tảng.

Chi tiết các lỗ hổng ClamAV

Các lỗ hổng bảo mật đã được xác định ảnh hưởng đến các phiên bản ClamAV 1.4.3 và 1.0.9, cùng với các phiên bản trước đó. Nguyên nhân gốc rễ của các vấn đề này nằm ở việc xử lý bộ nhớ không đúng cách, kiểm tra giới hạn (boundary checks) và quản lý tài nguyên trong nhiều bộ phân tích định dạng tệp của ClamAV.

Các định dạng tệp bị ảnh hưởng

Các bộ phân tích cho các định dạng tệp sau đây chứa các lỗi có thể bị khai thác:

  • PE
  • FSG
  • 7z
  • InstallShield
  • PESpin
  • ALZ
  • DMG

Cơ chế khai thác

Một kẻ tấn công không cần xác thực có thể tạo ra các tệp độc hại được định dạng đặc biệt và gửi chúng đến một điểm cuối qua email, tải xuống web hoặc chia sẻ tệp. Khi ClamAV quét nội dung của tệp độc hại này, các lỗi như ghi ngoài giới hạn (out-of-bounds writes), đọc bộ nhớ quá giới hạn (memory overreads) và tràn số nguyên (integer overflows) trên các nền tảng 32-bit có thể khiến tiến trình ClamAV bị chấm dứt. Việc này tiêu thụ tài nguyên hệ thống tạm thời, dẫn đến tình trạng DoS.

Ảnh hưởng hệ thống theo nền tảng

Cisco đã đưa ra cảnh báo bảo mật cisco-sa-clamav-88cFYyxR vào ngày 1 tháng 7 năm 2026, nêu bật rủi ro từ các lỗ hổng phân tích cú pháp ClamAV trước đây đã làm gián đoạn hoạt động quét và đôi khi gây ra lỗi quét.

Ảnh hưởng trên Windows

Trên nền tảng Windows, các lỗ hổng này được đánh giá là Cao (CVSS 7.5). Nguyên nhân là do tiến trình quét ClamAV chạy với đặc quyền cao hơn, và một sự cố sập có thể ảnh hưởng trực tiếp đến sự ổn định của điểm cuối. Việc khai thác thành công có thể khiến điểm cuối không phản hồi, yêu cầu can thiệp thủ công như khởi động lại.

Ảnh hưởng trên Linux và macOS

Đối với Linux và macOS, Mức độ Ảnh hưởng Bảo mật được đánh giá là Trung bình. Trên các hệ điều hành này, ClamAV thường chạy với đặc quyền hạn chế hơn. Tình trạng DoS chủ yếu làm gián đoạn quá trình quét và trì hoãn hoặc chặn phát hiện mã độc, nhưng thường không gây mất ổn định toàn bộ hệ điều hành.

Cisco Secure Endpoint Private Cloud

Cisco làm rõ rằng Secure Endpoint Private Cloud không bị ảnh hưởng trực tiếp bởi các lỗ hổng này. Tuy nhiên, các bộ kết nối (connectors) được phân phối từ đó sẽ kế thừa các lỗ hổng ClamAV và cần được cập nhật.

Khuyến nghị bảo mật và hành động khắc phục

Cisco xác nhận rằng các bộ kết nối Secure Endpoint Connector trên Linux, Mac và Windows đều sử dụng các thành phần ClamAV dễ bị tổn thương. Có khả năng thực thi mã từ xa (RCE) đã được ghi nhận trong các trường hợp đặc quyền xử lý và các biện pháp bảo vệ nền tảng yếu hơn, nhấn mạnh rủi ro tiềm ẩn của các lỗi trong các engine bảo mật thường xuyên xử lý đầu vào không đáng tin cậy.

Thiếu giải pháp tạm thời

Cisco báo cáo rằng không có giải pháp tạm thời thực tế nào cho các lỗ hổng ClamAV này, do đó việc cập nhật bản vá là biện pháp giảm thiểu bền vững duy nhất.

Hành động cập nhật

Các bản phát hành Secure Endpoint Connector đã được cập nhật hiện có sẵn thông qua cổng Cisco Secure Endpoint. Các khách hàng bị ảnh hưởng được khuyến khích nâng cấp lên các phiên bản đã sửa lỗi được ghi nhận cho Windows, Linux và Mac như một phần của chu kỳ cập nhật nội dung và phần mềm thông thường.

Xem xét và chuẩn bị

Các nhóm bảo mật cũng nên xem xét các ID lỗi Cisco liên quan và các mục CVE cho các số bản dựng cụ thể và hướng dẫn triển khai. Việc đảm bảo các điểm cuối có đủ tài nguyên trước khi nâng cấp cũng là một bước quan trọng.

Nguồn tham khảo

Để biết thêm chi tiết về các lỗ hổng này và các bản cập nhật liên quan, vui lòng tham khảo thông báo chính thức của Cisco tại:

Cisco Security Advisory cisco-sa-clamav-88cFYyxR

Các lỗ hổng trong phân tích tệp của ClamAV là một mối đe dọa dai dẳng, có thể dẫn đến gián đoạn hoạt động và các rủi ro bảo mật tiềm ẩn khác.