趋势科技企业级杀软产品俩 0day 已遭利用
趋势科技公司本周发出安全警报称,黑客试图利用该公司杀毒产品中的两个 0day。本周一,该公司修复了这两个已遭利用的 0day 以及三个其它未遭利用的类似的严重问题。
安全警报称,这两个 0day 影响趋势科技的两款企业级安全产品 Apex One 和 OfficeScan XG。但该公司并未透露攻击详情。这两个0day 是去年以来该公司已遭利用的第二个和第三个杀软 bug。据称第一个0day (CVE-2019-18187) 遭某国 APT 组织用于攻击日本三菱电机公司。
目前尚不清楚这两个 0day 是否和去年的 0day 之间存在关联或者是否遭同一个黑客组织利用。
0day 详情
从趋势科技发布的安全公告来看,这两个 0day 是:
(1)CVE-2020-8467:CVSS 评分为9.1(严重)。 Apex One 和 OfficeScan 的一个迁移工具中包含一个漏洞,可导致远程攻击者在受影响程序中执行任意代码。攻击要求用户认证。
(2) CVE-2020-8468:CVSS 评分8.0(高危)。 Apex One 和 OfficeScan 代理遭一个内容验证逃逸漏洞影响,可导致攻击者操纵某些代理客户端组件。攻击要求用户认证。
我们从上述详情中能获得的唯一情况是,这些 0day 要求黑客拥有受害者工作站的有效凭证,也就是说它们极可能被部署在后攻陷场景中即黑客已渗透企业内网之后。
这两个 0day 最可能被用于禁用安全产品或提升攻击者在运行这两款趋势科技杀软产品的机器上的权限。
其它三个严重问题
然而,尽管这两个0day 已遭实际利用,但并非趋势科技在最近发布的安全公告中描述的最糟糕的漏洞。
趋势科技还说明了另外三个漏洞,它们的 CVSSv3 评分均为满分10分。从评分可看出,这些漏洞可遭远程利用,无需认证,且可导致杀软(以及底层操作系统)产品遭完全控制。趋势科技指出,同样需要重视这三个问题:
(1)CVE-2020-8470:Apex One 和 OfficeScan 服务器中包含一个易受攻击的服务 DLL 文件,可导致攻击者以系统级别的权限删除该服务器上的任意文件。利用该漏洞无需用户认证。
(2) CVE-2020-8698:Apex One 和 OfficeScan 服务器中包含一个易受攻击的服务 DLL 文件,可导致远程攻击者在受影响程序上以系统级别的权限执行任意代码。利用该漏洞无需用户认证。
(3)CVE-2020-8599:Apex One 和 OfficeScan 服务器中包含一个易受攻击的 EXE 文件,可导致远程攻击者在受影响程序的任意路径写入任意数据并绕过 ROOT 登录。利用该漏洞要求用户认证。
趋势科技指出,上述五个漏洞都是内部安全研究员发现的。
继去年被曝0day 后,趋势科技密切关注产品漏洞问题。该公司的重视程度在2020年2月达到顶峰,当时该公司宣布称有意通过 ZDI 项目向独立安全研究员购买关于其主要杀软产品(Apex One、OfficeScan和 Deep Security)中的漏洞报告。
受影响产品及补丁如下:
https://www.zdnet.com/article/two-trend-micro-zero-days-exploited-in-the-wild-by-hackers/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。