漏洞速报
思科今日紧急发布安全更新,修复其ClamAV反病毒引擎中高危拒绝服务漏洞(CVE-2025-20128)。该漏洞源于OLE2文件解密模块的堆缓冲区溢出缺陷,攻击者可通过投递恶意文件触发扫描进程崩溃,导致企业终端防护陷入瘫痪!
⚠️ 关键风险点:
-
无认证远程利用:无需身份验证即可远程攻击
-
PoC代码已公开:虽未发现野外攻击,但武器化门槛极低
-
影响范围广:波及Windows/Linux/Mac版Secure Endpoint Connector(原AMP for Endpoints),该组件直连SIEM系统(如微软Sentinel)
🛠️ 漏洞深度解析
技术机理:攻击者制作含畸形OLE2结构的文件(如恶意文档、邮件附件),当ClamAV引擎扫描时触发堆溢出,直接终止扫描服务。思科强调系统整体稳定性不受影响,但实时防护中断可能给后续攻击留出时间窗口。
历史关联:
-
2024年4月:思科VPN设备遭大规模暴力破解,暴露FTD软件DoS漏洞(CVE-2024-20481)
-
2024年11月:URWB工业AP曝出最高危漏洞(CVE-2024-20418),攻击者可获取root权限
⚡ 同步修复三大漏洞
除ClamAV漏洞外,思科今日还修补:1️⃣ CVE-2025-20165:BroadWorks应用DoS漏洞,可瘫痪通信服务2️⃣ CVE-2025-20156:会议管理系统REST API权限提升漏洞,黑客可劫持管理员账户👉 修复建议:
-
立即升级ClamAV引擎至0.105.8或更高版本
-
检查Secure Endpoint Connector版本,企业版需更新至7.9.3+
🚨 行业警报:终端防护链断裂风险
安全研究员@硬壳实验室分析称:"ClamAV作为开源杀毒引擎,被整合到思科、微软Defender等多款商业产品中。此次漏洞可能引发供应链级连锁反应——攻击者或通过SIEM日志收集系统反向渗透企业终端。"
企业应对策略:
-
紧急部署补丁前,可临时关闭自动文件扫描
-
监控SIEM日志中异常OLE2文件告警
-
隔离未打补丁的Secure Endpoint Connector主机
📌 延伸思考
这是思科2024年第7次修复高危漏洞。当商业安全产品频繁曝出底层引擎缺陷,企业是应继续依赖"全家桶"方案,还是转向模块化异构防护?欢迎留言讨论!
原文始发于微信公众号(技术修道场):高危预警!思科ClamAV漏洞PoC代码公开,多款终端安全产品告急
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论