2021年06月24日,360CERT监测发现 06月14日Autodesk
发布了Design Review
安全更新通告,本次安全更新中修复了7处漏洞 ,漏洞等级:高危
,漏洞评分:8.9
。
Autodesk是在建筑、工程及制造业等行业的产品闻名软件公司,其拥有 AutoCAD,AutoCAD WS,Autodesk Alias,Autodesk Maya,Autodesk Design Review等多款软件,在全世界范围内拥有大量的客户。攻击者可以通过利用这些漏洞构造一个恶意的网页或文件诱使用户点击,从而控制用户的主机。
Autodesk系列产品通常用在企业内网的员工办公机上,攻击者通常会使用社会工程学的方式将身份伪装成求职者等其他身份向企业员工发送包含恶意代码的文件,当企业员工运行该文件时,攻击者便可在员工主机上直接执行任意代码,从而突破企业边界防御策略,直接入侵到企业办公网段。但是内存漏洞存在利用成本高、触发情况不稳定的情况,同时该漏洞需要用户参与点击,利用难度中。
对此,360CERT建议广大用户及时将Autodesk Design Review
升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
360CERT对该漏洞的评定结果如下
评定方式 | 等级 |
---|---|
威胁等级 | 高危 |
影响面 | 广泛 |
攻击者价值 | 非常高 |
利用难度 | 中 |
360CERT评分 | 8.9 |
CVE-2021-27033: Design Review 内存多重释放漏洞
CVE: CVE-2021-27033
组件: Design Review
漏洞类型: 内存多重释放
影响: 接管用户计算机
简述: Autodesk Design Review 对PDF的处理过程中存在多重释放漏洞。攻击者通过诱使用户打开特制的网页或PDF文件,可利用该漏洞控制用户计算机。
CVE-2021-27034: Design Review 缓冲区溢出漏洞
CVE: CVE-2021-27034
组件: Design Review
漏洞类型: 缓冲区溢出
影响: 接管用户计算机
简述: Autodesk Design Review 解析 PICT 或 TIFF 文件过程中存在基于堆的缓冲区溢出漏洞。攻击者通过诱使用户打开特制的PICT 或 TIFF 文件,可利用该漏洞控制用户计算机。
CVE-2021-27035: Design Review 内存越界漏洞
CVE: CVE-2021-27035
组件: Design Review
漏洞类型: 内存越界
影响: 接管用户计算机
简述: Autodesk Design Review 解析 TIFF、PDF、PICT 或 DWF 文件时存在内容越界读取写入漏洞。攻击者通过诱使用户打开特制的TIFF、PDF、PICT 或 DWF 文件,可利用该漏洞控制用户计算机。
CVE-2021-27036: Design Review 内存越界写漏洞
CVE: CVE-2021-27036
组件: Design Review
漏洞类型: 内存越界写
影响: 接管用户计算机
简述: Autodesk Design Review 解析PDF、PICT 或 TIFF 文件时存在内容越界写入漏洞。攻击者通过诱使用户打开特制的PDF、PICT 或 TIFF 文件,可利用该漏洞控制用户计算机。
CVE-2021-27037: Design Review UAF漏洞
CVE: CVE-2021-27037
组件: Design Review
漏洞类型: UAF
影响: 接管用户计算机
简述: Autodesk Design Review 解析 PNG、PDF 或 DWF 文件时存在(UAF)内存释放后使用漏洞。攻击者通过诱使用户打开特制的 PNG、PDF 或 DWF 文件,可利用该漏洞控制用户计算机。
CVE-2021-27038: Design Review 类型混淆漏洞
CVE: CVE-2021-27038
组件: Design Review
漏洞类型: 类型混淆
影响: 接管用户计算机
简述: Autodesk Design Review 解析PDF文件时存在类型混淆漏洞。攻击者通过诱使用户打开特制的网页、PDF文件,可利用该漏洞控制用户计算机。
CVE-2021-27039: Design Review 内存越界漏洞
CVE: CVE-2021-27039
组件: Design Review
漏洞类型: 内存越界
影响: 接管用户计算机
简述: Autodesk Design Review 解析TIFF文件时存在内容越界读写漏洞。攻击者通过诱使用户打开特制的TIFF文件,可利用该漏洞控制用户计算机。
软件 | 影响版本 | 安全版本 |
---|---|---|
Autodesk Design Review | 2011 | 2018 Hotfix 3 |
Autodesk Design Review | 2012 | 2018 Hotfix 3 |
Autodesk Design Review | 2013 | 2018 Hotfix 3 |
Autodesk Design Review | 2017 | 2018 Hotfix 3 |
Autodesk Design Review | 2018 | 2018 Hotfix 3 |
Autodesk Design Review | 2018_hotfix_1 | 2018 Hotfix 3 |
Autodesk Design Review | 2018_hotfix_2 | 2018 Hotfix 3 |
通用修补建议
Autodesk® Design Review 2013 或更早版本的客户需要按照Autodesk 知识网络中的安装说明升级到 2018 或更高版本。使用不再有获得全面支持的版本(<2013)的客户应计划尽快升级到受支持的版本,以避免受到安全漏洞影响。
若想了解更多产品信息或有相关业务需求,可移步至http://360.net。
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。
360安全卫士
Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。
360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
360本地安全大脑
360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。
360终端安全管理系统
360终端安全管理系统软件是在360安全大脑极智赋能下,以大数据、云计算等新技术为支撑,以可靠服务为保障,集防病毒与终端安全管控功能于一体的企业级安全产品。
360终端安全管理系统已支持对相关漏洞进行检测和修复,建议用户及时更新漏洞库并安装更新相关补丁。
2021-06-14 Autodesk发布通告
2021-06-24 360CERT发布通告
1、 Vulnerabilities in the Autodesk® Design Review software
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。
若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。
来源:安全客