趋势科技近日发布安全公告,修补旗下端点安全产品,包括本地部署及云计算版Apex One中的4项漏洞,同时警告其中2个漏洞已经被黑客串联起来对用户发动攻击。
这次修补的漏洞包括CVE-2021-32464、CVE-2021-32465、CVE-2021-36741、CVE-2021-36742。其中CVE-2021-32464和CVE-2021-32465各为权限许可分配和许可保存不当,造成的权限升级及验证绕过漏洞。CVE-2021-36741为任意文件上传漏洞,CVE-2021-36742则为本地权限升级漏洞。前二项漏洞是外部研究人员Kharosx0和HexKitchen发现后通报,而后2项则为趋势科技研究人员发现。这4项漏洞皆属于CVSS 3.0风险值7.1到7.8的安全漏洞。
受到影响的产品涵盖本地部署的端点安全产品Apex One,以及SaaS版的Apex One as a Service。
趋势科技警告,已经观察到网络上发生至少一起串联CVE-2021-36741和CVE-2021-36742的开采活动,并已通知这些企业客户。CVE-2021-36741需要攻击者登录产品管理接口才能开采,如果成功即能上传任意文件。CVE-2021-36742需要攻击者在受害系统上执行低权限程序,但一经开采漏洞,他就能进一步提升系统权限。虽然这些漏洞需要有一些先决条件,但为确安全全,趋势科技仍呼吁用户尽快将产品升级到最新版本。
这是今年以来Apex One第二波被人试图黑入。今年5月趋势科技更新一则安全公告,指出去年修补的Apex One及OfficeScan(Apex One前身)漏洞遭人第二度攻击。