Autodesk 多個高危漏洞通告
責編:gltian |2021-06-25 11:13:46
0x01 ??漏洞簡述
2021年06月24日,360CERT監測發現 06月14日Autodesk發布了Design Review安全更新通告,本次安全更新中修復了7處漏洞 ,漏洞等級:高危,漏洞評分:8.9。
Autodesk是在建筑、工程及制造業等行業的產品聞名軟件公司,其擁有 AutoCAD,AutoCAD WS,Autodesk Alias,Autodesk Maya,Autodesk Design Review等多款軟件,在全世界范圍內擁有大量的客戶。攻擊者可以通過利用這些漏洞構造一個惡意的網頁或文件誘使用戶點擊,從而控制用戶的主機。
Autodesk系列產品通常用在企業內網的員工辦公機上,攻擊者通常會使用社會工程學的方式將身份偽裝成求職者等其他身份向企業員工發送包含惡意代碼的文件,當企業員工運行該文件時,攻擊者便可在員工主機上直接執行任意代碼,從而突破企業邊界防御策略,直接入侵到企業辦公網段。但是內存漏洞存在利用成本高、觸發情況不穩定的情況,同時該漏洞需要用戶參與點擊,利用難度中。
對此,360CERT建議廣大用戶及時將Autodesk Design Review升級到最新版本。與此同時,請做好資產自查以及預防工作,以免遭受黑客攻擊。
0x02 ??風險等級
360CERT對該漏洞的評定結果如下
| 評定方式 | 等級 |
|---|---|
| 威脅等級 | 高危 |
| 影響面 | 廣泛 |
| 攻擊者價值 | 非常高 |
| 利用難度 | 中 |
| 360CERT評分 | 8.9 |
0x03 ??漏洞詳情
CVE-2021-27033: Design Review 內存多重釋放漏洞
CVE: CVE-2021-27033
組件: Design Review
漏洞類型: 內存多重釋放
影響: 接管用戶計算機
簡述: Autodesk Design Review 對PDF的處理過程中存在多重釋放漏洞。攻擊者通過誘使用戶打開特制的網頁或PDF文件,可利用該漏洞控制用戶計算機。
CVE-2021-27034: Design Review 緩沖區溢出漏洞
CVE: CVE-2021-27034
組件: Design Review
漏洞類型: 緩沖區溢出
影響: 接管用戶計算機
簡述: Autodesk Design Review 解析 PICT 或 TIFF 文件過程中存在基于堆的緩沖區溢出漏洞。攻擊者通過誘使用戶打開特制的PICT 或 TIFF 文件,可利用該漏洞控制用戶計算機。
CVE-2021-27035: Design Review 內存越界漏洞
CVE: CVE-2021-27035
組件: Design Review
漏洞類型: 內存越界
影響: 接管用戶計算機
簡述: Autodesk Design Review 解析 TIFF、PDF、PICT 或 DWF 文件時存在內容越界讀取寫入漏洞。攻擊者通過誘使用戶打開特制的TIFF、PDF、PICT 或 DWF 文件,可利用該漏洞控制用戶計算機。
CVE-2021-27036: Design Review 內存越界寫漏洞
CVE: CVE-2021-27036
組件: Design Review
漏洞類型: 內存越界寫
影響: 接管用戶計算機
簡述: Autodesk Design Review 解析PDF、PICT 或 TIFF 文件時存在內容越界寫入漏洞。攻擊者通過誘使用戶打開特制的PDF、PICT 或 TIFF 文件,可利用該漏洞控制用戶計算機。
CVE-2021-27037: Design Review UAF漏洞
CVE: CVE-2021-27037
組件: Design Review
漏洞類型: UAF
影響: 接管用戶計算機
簡述: Autodesk Design Review 解析 PNG、PDF 或 DWF 文件時存在(UAF)內存釋放后使用漏洞。攻擊者通過誘使用戶打開特制的 PNG、PDF 或 DWF 文件,可利用該漏洞控制用戶計算機。
CVE-2021-27038: Design Review 類型混淆漏洞
CVE: CVE-2021-27038
組件: Design Review
漏洞類型: 類型混淆
影響: 接管用戶計算機
簡述: Autodesk Design Review 解析PDF文件時存在類型混淆漏洞。攻擊者通過誘使用戶打開特制的網頁、PDF文件,可利用該漏洞控制用戶計算機。
CVE-2021-27039: Design Review 內存越界漏洞
CVE: CVE-2021-27039
組件: Design Review
漏洞類型: 內存越界
影響: 接管用戶計算機
簡述: Autodesk Design Review 解析TIFF文件時存在內容越界讀寫漏洞。攻擊者通過誘使用戶打開特制的TIFF文件,可利用該漏洞控制用戶計算機。
0x04 ??影響版本
| 軟件 | 影響版本 | 安全版本 |
|---|---|---|
| Autodesk Design Review | 2011 | 2018 Hotfix 3 |
| Autodesk Design Review | 2012 | 2018 Hotfix 3 |
| Autodesk Design Review | 2013 | 2018 Hotfix 3 |
| Autodesk Design Review | 2017 | 2018 Hotfix 3 |
| Autodesk Design Review | 2018 | 2018 Hotfix 3 |
| Autodesk Design Review | 2018_hotfix_1 | 2018 Hotfix 3 |
| Autodesk Design Review | 2018_hotfix_2 | 2018 Hotfix 3 |
0x05 ??修復建議
通用修補建議
Autodesk? Design Review 2013 或更早版本的客戶需要按照Autodesk 知識網絡中的安裝說明升級到 2018 或更高版本。使用不再有獲得全面支持的版本(<2013)的客戶應計劃盡快升級到受支持的版本,以避免受到安全漏洞影響。
0x06 ??產品側解決方案
?若想了解更多產品信息或有相關業務需求,可移步至http://360.net。
360安全分析響應平臺
360安全大腦的安全分析響應平臺通過網絡流量檢測、多傳感器數據融合關聯分析手段,對該類漏洞的利用進行實時檢測和阻斷,請用戶聯系相關產品區域負責人或(shaoyulong#360.cn)獲取對應產品。
360安全衛士
Windows用戶可通過360安全衛士實現對應補丁安裝、漏洞修復、惡意軟件查殺,其他平臺的用戶可以根據修復建議列表中的安全建議進行安全維護。
360CERT建議廣大用戶使用360安全衛士定期對設備進行安全檢測,以做好資產自查以及防護工作。
360本地安全大腦
360本地安全大腦是將360云端安全大腦核心能力本地化部署的一套開放式全場景安全運營平臺,實現安全態勢、監控、分析、溯源、研判、響應、管理的智能化安全運營賦能。360本地安全大腦已支持對相關漏洞利用的檢測,請及時更新網絡神經元(探針)規則和本地安全大腦關聯分析規則,做好防護。
360終端安全管理系統
360終端安全管理系統軟件是在360安全大腦極智賦能下,以大數據、云計算等新技術為支撐,以可靠服務為保障,集防病毒與終端安全管控功能于一體的企業級安全產品。
360終端安全管理系統已支持對相關漏洞進行檢測和修復,建議用戶及時更新漏洞庫并安裝更新相關補丁。
0x07 ??時間線
2021-06-14?Autodesk發布通告
2021-06-24?360CERT發布通告
0x08 ??參考鏈接
1、 Vulnerabilities in the Autodesk? Design Review software
0x09 ??特制報告下載鏈接
一直以來,360CERT對全球重要網絡安全事件進行快速通報、應急響應。為更好地為政企用戶提供最新漏洞以及信息安全事件的安全通告服務,現360CERT正式推出安全通告特制版報告,以便用戶做資料留存、傳閱研究與查詢驗證。 用戶可直接通過以下鏈接進行特制報告的下載。
若有訂閱意向與定制需求請發送郵件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手機號、地區、郵箱地址。
來源:安全客