Cisco corrige un bug de mise hors service de l’antivirus alors que le code d’exploitation fait surface

Lucas Morel

Cette faille pourrait permettre à des attaquants distants d’arrêter l’analyse ClamAV et de compromettre les flux de travail de sécurité critiques.

Cisco a corrigé une vulnérabilité de déni de service (DoS) affectant sa boîte à outils logicielle antivirus open source, ClamAV, qui dispose déjà d’un code d’exploitation de preuve de concept (PoC) accessible au public.

Identifiée comme CVE-2025-20128, la vulnérabilité provient d’un débordement de tampon basé sur le tas dans la routine de décryptage Object Linking and Embedding 2 (OLE2), permettant à des attaquants distants non authentifiés de provoquer une condition DoS sur les appareils concernés.

« Cette vulnérabilité est due à un dépassement de dépassement d’entier lors d’une vérification des limites qui permet une lecture par dépassement de tampon de tas », a déclaré Cisco dans un avis. « Un exploit réussi pourrait permettre à l’attaquant de mettre fin au processus d’analyse ClamAV, ce qui entraînerait une condition DoS sur le logiciel concerné. »

Cependant, la société a noté que la stabilité globale du système reste intacte malgré l’exploitation réussie de la faille.

Le une faille pourrait arrêter l’analyse AV

La faille, bien qu’il s’agisse d’un problème de gravité moyenne, pourrait compromettre les processus d’analyse critiques pour les utilisateurs de ClamAV qui l’utilisent pour une gamme de protections, notamment l’analyse des e-mails, le filtrage Web et la sécurité des points finaux.

« Un attaquant pourrait exploiter cette vulnérabilité en soumettant un fichier contrefait contenant du contenu OLE2 à analyser par ClamAV sur un appareil concerné », ajoute l’avis. « Le Cisco PSIRT est conscient qu’un code d’exploitation de validation de principe est disponible pour cette vulnérabilité. »

Les plates-formes logicielles Cisco concernées incluent Secure Endpoint Connector pour Linux, Secure Endpoint Connector pour Mac, Secure Endpoint Connector pour Windows et Secure Endpoint Private Cloud.

Cisco a confirmé que la vulnérabilité n’affecte pas ses produits « Secure Email Gateway » et « Secure Web Appliances », deux solutions Cisco pour les menaces de messagerie et Web auxquelles ClamAV s’intègre pour une prise en charge complète.

L’application de correctifs est la seule solution de contournement

Dans un blog ClamAV distinct, l’équipe Cisco a fourni des détails sur les correctifs de sécurité publiés pour corriger cette faille. Le déploiement du correctif inclut la version 1.4.2 de ClamAV et la version 1.0.8 de ClamAV, toutes deux disponibles en téléchargement sur la page de téléchargement de ClamAV, la page de version de Github et via Docker Hub.

La mise à jour des logiciels concernés est la seule option pour les utilisateurs, car la société a déclaré qu’il n’existait aucune solution de contournement pour résoudre cette vulnérabilité.

La société a déclaré dans l’avis qu’elle n’était au courant d’aucune exploitation active de la vulnérabilité et a remercié l’équipe de fuzzing de Google, OSS-Fuzz, pour l’avoir signalée. La boîte à outils anti-malware de Cisco a rencontré sa deuxième vulnérabilité de déni de service (DoS) en un an. Le premier, identifié en février 2024, a permis un sabotage très similaire mais a été jugé plus grave que la faille actuelle.