趨勢科技軟體舊漏洞遭駭客攻擊

安全軟體相繼成為攻擊目標，繼SonicWall公佈郵件安全軟體漏洞遭駭客入侵後，趨勢科技（TrenMicro）也發出公告，其端點安全產品線漏洞被不明組織開採，該公司也呼籲用戶應儘速升級到最新版本以免受影響。

趨勢科技觀察到，5項產品漏洞至少有一項漏洞遭到開採。這5個漏洞全部影響端點產品線OfficeScan及改名後的ApexOne，後者則涵括本地部署及SaaS環境。這5項漏洞風險層級從中到高，包括CVE-2020-24556、CVE-2020-24557、CVE-2020-24558、CVE-2020-24559和CVE-2020-24562，趨勢科技已經在去年11月修補完成。

其中趨勢科技特別指出CVE-2020-24557，公司觀測到至少已發生一樁開採行動。CVE-2020-24557位於Windows版Apex One及OfficeScan XG SP1，可能讓攻擊者操控特定產品資料夾暫時關閉安全功能，並利用特定Windows合法功能來達到權限擴張的目的。

這項漏洞是風險層級7.8的權限擴張漏洞，攻擊者並不能直接引發威脅，他必須先要能在目標系統上執行低權限的程式碼，也就是說攻擊者可能串聯了別的漏洞發動攻擊，或已事先植入惡意程式碼。但串聯攻擊的結果最高可能導致系統劫持。

趨勢科技並未透露攻擊細節，不過根據The Record引述匿名消息人士報導，發動攻擊的是一個進階滲透威脅（advanced persistent threat，APT）組織，這通常意謂由國家支持的駭客組織。

其他漏洞包括Windows版本及macOS版本中ApexOne中的硬連結（hard link）權限擴張漏洞CVE-2020-24556/CVE-2020-24562、及CVE-2020-24559（CVSS 3.1版風險層級7.8），另一個為影響ApexOne和OfficeScan XG 中的頻外讀取資訊洩露漏洞CVE-2020-24558（風險層級5.5）。

這是繼本周SonicWall後，另一個自行揭露漏洞遭到開採的安全廠商。SonicWall的電子郵件安全產品三項漏洞遭一個不明組織駭入並植入名為BEHINDER的 web shell，旨在日後接收外部C&C伺服器指令以控制受害系統，包括竊取機密信件。發現這樁行動的FireEye將之暫名為UNC2682。此外，美國政府本周也警告，中國駭客正利用FireEye、Pulse VPN漏洞對美國企業及政府網路發動攻擊。

不過這也是趨勢科技產品去年以來第4度遭駭客開採的事件。去年1月及3月都有1個和2個漏洞被開採，皆影響Apex One 及OfficeScan。去年1月的攻擊也疑似連帶造成日本三菱電機被駭及資料外洩。