高危预警！思科ClamAV漏洞PoC代码公开，多款终端安全产品告急

原创 Hankzheng 技术修道场 2025-01-23 01:36

漏洞速报

思科今日紧急发布安全更新，修复其ClamAV反病毒引擎中高危拒绝服务漏洞（CVE-2025-20128）
。该漏洞源于OLE2文件解密模块的堆缓冲区溢出缺陷
，攻击者可通过投递恶意文件触发扫描进程崩溃，导致企业终端防护陷入瘫痪！

⚠️ 关键风险点
：
– 无认证远程利用
：无需身份验证即可远程攻击

• PoC代码已公开
  ：虽未发现野外攻击，但武器化门槛极低

• 影响范围广
  ：波及Windows/Linux/Mac版Secure Endpoint Connector（原AMP for Endpoints），该组件直连SIEM系统（如微软Sentinel）

🛠️ 漏洞深度解析

技术机理
：攻击者制作含畸形OLE2结构的文件（如恶意文档、邮件附件），当ClamAV引擎扫描时触发堆溢出，直接终止扫描服务。思科强调系统整体稳定性不受影响，但实时防护中断可能给后续攻击留出时间窗口
。

历史关联
：
– 2024年4月：思科VPN设备遭大规模暴力破解，暴露FTD软件DoS漏洞（CVE-2024-20481）

• 2024年11月：URWB工业AP曝出最高危漏洞（CVE-2024-20418），攻击者可获取root权限

⚡ 同步修复三大漏洞

除ClamAV漏洞外，思科今日还修补：

1️⃣ CVE-2025-20165
：BroadWorks应用DoS漏洞，可瘫痪通信服务

2️⃣ CVE-2025-20156
：会议管理系统REST API权限提升漏洞，黑客可劫持管理员账户

👉 修复建议
：
– 立即升级ClamAV引擎至0.105.8或更高版本

• 检查Secure Endpoint Connector版本，企业版需更新至7.9.3+

🚨 行业警报：终端防护链断裂风险

安全研究员@硬壳实验室分析称：”ClamAV作为开源杀毒引擎，被整合到思科、微软Defender等多款商业产品中。此次漏洞可能引发供应链级连锁反应——攻击者或通过SIEM日志收集系统反向渗透企业终端
。”

企业应对策略
：
– 紧急部署补丁前，可临时关闭自动文件扫描

• 监控SIEM日志中异常OLE2文件告警

• 隔离未打补丁的Secure Endpoint Connector主机

📌 延伸思考

这是思科2024年第7次修复高危漏洞。当商业安全产品频繁曝出底层引擎缺陷，企业是应继续依赖”全家桶”方案，还是转向模块化异构防护？欢迎留言讨论！