全球反病毒引擎每天要解析几百万种文件。一个PE头、一个7z压缩包、一张DMG镜像,只要格式稍加变形,就可能让扫描进程瞬间瘫掉。刚刚,思科确认ClamAV引擎在解析七类文件时存在多个高危漏洞,远程攻击者可以构造畸形文件,让终端防护直接静默下线。
受影响的是Cisco Secure Endpoint Connector部署,覆盖Windows、Linux、macOS三端。在Windows上,漏洞评级为高危(CVSS 7.5),因为ClamAV扫描进程以较高权限运行,一旦崩溃会导致终端无响应,需要人工重启。Linux和macOS评级为中危,因为进程权限受限,扫描引擎终止后主要干扰恶意软件检测,通常不会拖垮整个系统。
思科在2026年7月1日发布安全公告 cisco-sa-clamav-88cFYyxR,明确指出这些问题源于多个文件格式解析器中的内存处理、边界检查和资源管理缺陷。涉及的解析器包括PE、FSG、7z、InstallShield、PESpin、ALZ和DMG。攻击者无需身份验证,只需把恶意构造的上述格式文件通过邮件、网页下载或文件共享投递到终端,当ClamAV扫描该内容时,即可触发漏洞。
解析过程中出现的异常五花八门:越界写入、内存过度读取以及在32位平台上的整数溢出。这些错误会直接导致ClamAV进程终止,同时短暂消耗系统资源,形成拒绝服务。公告特别提到,以往类似的ClamAV解析漏洞曾多次干扰扫描操作,甚至让扫描彻底失败。在进程权限较高、平台保护较弱的情况下,同一类缺陷甚至能实现远程代码执行,这给所有需要频繁处理未信任输入的安全引擎敲了警钟。
具体来说,PE解析器的缺陷可能让一个精心篡改的Windows可执行文件在扫描时触发越界写入。FSG压缩格式解析时缺少足够的边界校验。7z解包模块的资源管理问题会在处理多层嵌套压缩时耗尽内存。InstallShield安装程序、PESpin加壳文件、ALZ旧格式压缩包以及DMG苹果磁盘映像的解析器同样存在代码缺陷。只要扫描流程触碰到这些格式的恶意变体,引擎就会立即崩溃。
思科确认,Secure Endpoint Private Cloud本身不直接受漏洞影响,但从该私云分发出去的连接器继承了ClamAV组件中的缺陷,必须进行更新。所有使用存在漏洞的ClamAV组件的Secure Endpoint Connector版本,无论运行在Linux、Mac还是Windows上,都暴露在此次风险中。攻击面很宽,因为正常的反病毒扫描流程会自动检查任何落地到终端的文件,无需用户交互。
一旦扫描进程被终止,终端将失去反病毒覆盖,直到服务重启或系统恢复。以往区域性的安全通告和厂商提示中,ClamAV拒绝服务问题呈现出一致的模式:引擎崩溃后,设备在极短时间内丧失恶意软件检测能力,必须通过手动或自动方式重新拉起服务。由于多数终端在后台静默运行扫描进程,管理员很可能不会立即察觉防护已经消失。
思科明确表示,这些漏洞没有可用的实操缓解措施,打补丁是唯一持久的修复方案。已经修复的Secure Endpoint Connector版本通过Cisco Secure Endpoint门户发布。受影响用户需要立即按照公告中列出的修复版本,为Windows、Linux和Mac终端升级连接器,作为正常内容和软件更新流程的一部分。公告中没有提示任何临时规避手段,这意味着在补丁完成前,终端会持续暴露在遭到扫描崩溃攻击的风险中。
从这起事件可以看出一条清晰的路径:攻击者不需要攻破任何账户,不需要绕过行为检测,只需投递一个格式畸形的文件,就能让安全软件自身变成拒绝服务的帮凶。七个文件格式同时存在解析漏洞,恰恰暴露了安全引擎在解析复杂文件格式时的通用弱点。威胁情报显示,类似的手法过往曾用于突破更严格的权限屏障,这次虽然没有达到远程代码执行级别,但已经足够让一台受保护的终端变成敞开的大门。思科的整个修复逻辑也极其简单:没有变通、没有配置开关、没有网络层缓解,只有更新。这也许是这场漏洞披露里最值得记住的一个信息。
热门跟贴