趋势科技修补已遭到攻击的Apex One产品漏洞

趋势科技近日发布安全公告，修补旗下端点安全产品，包括本地部署及云端版Apex One中的4项漏洞，同时警告其中2个漏洞已经被骇客串联起来对用户发动攻击。

这次修补的漏洞包括CVE-2021-32464、CVE-2021-32465、CVE-2021-36741、CVE-2021-36742。其中CVE-2021-32464和CVE-2021-32465各为权限许可分配和许可保存不当，造成的权限升级及验证绕过漏洞。CVE-2021-36741为任意档案上传漏洞，CVE-2021-36742则为本地权限升级漏洞。前二项漏洞是外部研究人员Kharosx0和HexKitchen发现后通报，而后2项则为趋势科技研究人员发现。这4项漏洞皆属于CVSS 3.0风险值7.1到7.8的安全漏洞。

受到影响的产品涵括本地部署的端点安全产品Apex One，以及SaaS 版的Apex One as a Service。

趋势科技警告，已经观察到网络上发生至少一起串联 CVE-2021-36741和CVE-2021-36742的开采活动，并已通知这些企业客户。CVE-2021-36741需要攻击者登入产品管理界面才能开采，如果成功即能上传任意档案。CVE-2021-36742需要攻击者在受害系统上执行低权限程式，但一经开采漏洞，他就能进一步提升系统权限。虽然这些漏洞需要有一些先决条件，但为确保安全，趋势科技仍呼吁用户尽速将产品升级到最新版本。

这是今年以来Apex One第二波被人试图骇入。今年5月趋势科技更新一则安全公告，指出去年修补的Apex One及OfficeScan（Apex One前身）漏洞遭人第二度攻击。