安全软件相继成为攻击目标,继SonicWall公布邮件安全软件漏洞遭黑客入侵后,趋势科技(TrenMicro)也发出公告,其端点安全产品线漏洞被不明组织开采,该公司也呼吁用户应尽快升级到最新版本以免受影响。
趋势科技观察到,5项产品漏洞至少有一项漏洞遭到开采。这5个漏洞全部影响端点产品线OfficeScan及改名后的ApexOne,后者则涵盖本地部署及SaaS环境。这5项漏洞风险层级从中到高,包括CVE-2020-24556、CVE-2020-24557、CVE-2020-24558、CVE-2020-24559和CVE-2020-24562,趋势科技已经在去年11月修补完成。
其中趋势科技特别指出CVE-2020-24557,公司观测到至少已发生一桩开采行动。CVE-2020-24557位于Windows版Apex One及OfficeScan XG SP1,可能让攻击者操控特定产品文件夹暂时关闭安全功能,并利用特定Windows合法功能来达到权限扩张的目的。
这项漏洞是风险层级7.8的权限扩张漏洞,攻击者并不能直接引发威胁,他必须先要能在目标系统上执行低权限的程序代码,也就是说攻击者可能串联了别的漏洞发动攻击,或已事先植入恶意程序代码。但串联攻击的结果最高可能导致系统劫持。
趋势科技并未透露攻击细节,不过根据The Record引述匿名消息人士报道,发动攻击的是一个高端渗透威胁(advanced persistent threat,APT)组织,这通常意味由国家支持的黑客组织。
其他漏洞包括Windows版本及macOS版本中ApexOne中的硬连接(hard link)权限扩张漏洞CVE-2020-24556/CVE-2020-24562、及CVE-2020-24559(CVSS 3.1版风险层级7.8),另一个为影响ApexOne和OfficeScan XG中的频外读取信息泄露漏洞CVE-2020-24558(风险层级5.5)。
这是继本周SonicWall后,另一个自行披露漏洞遭到开采的安全厂商。SonicWall的电子邮件安全产品三项漏洞遭一个不明组织黑入并植入名为BEHINDER的web shell,旨在日后接收外部C&C服务器指令以控制受害系统,包括窃取机密信件。发现这桩行动的FireEye将之暂名为UNC2682。
不过这也是趋势科技产品去年以来第4度遭黑客开采的事件。去年1月及3月都有1个和2个漏洞被开采,皆影响Apex One及OfficeScan。去年1月的攻击也疑似连带造成日本三菱电机被黑及资料外泄。