趨勢科技修補已遭到攻擊的Apex One產品漏洞

趨勢科技近日發布安全公告，修補旗下端點安全產品，包括本地部署及雲端版Apex One中的4項漏洞，同時警告其中2個漏洞已經被駭客串聯起來對用戶發動攻擊。

這次修補的漏洞包括CVE-2021-32464、CVE-2021-32465、CVE-2021-36741、CVE-2021-36742。其中CVE-2021-32464和CVE-2021-32465各為權限許可分配和許可保存不當，造成的權限升級及驗證繞過漏洞。CVE-2021-36741為任意檔案上傳漏洞，CVE-2021-36742則為本地權限升級漏洞。前二項漏洞是外部研究人員Kharosx0和HexKitchen發現後通報，而後2項則為趨勢科技研究人員發現。這4項漏洞皆屬於CVSS 3.0風險值7.1到7.8的安全漏洞。

受到影響的產品涵括本地部署的端點安全產品Apex One，以及SaaS 版的Apex One as a Service。

趨勢科技警告，已經觀察到網路上發生至少一起串聯 CVE-2021-36741和CVE-2021-36742的開採活動，並已通知這些企業客戶。CVE-2021-36741需要攻擊者登入產品管理介面才能開採，如果成功即能上傳任意檔案。CVE-2021-36742需要攻擊者在受害系統上執行低權限程式，但一經開採漏洞，他就能進一步提升系統權限。雖然這些漏洞需要有一些先決條件，但為確保安全，趨勢科技仍呼籲用戶儘速將產品升級到最新版本。

這是今年以來Apex One第二波被人試圖駭入。今年5月趨勢科技更新一則安全公告，指出去年修補的Apex One及OfficeScan（Apex One前身）漏洞遭人第二度攻擊。