Autodesk 多个高危漏洞通告
2021-06-24 14:02

报告编号:B6-2021-062401

报告来源:360CERT

报告作者:360CERT

更新日期:2021-06-24

0x01   漏洞简述

2021年06月24日,360CERT监测发现 06月14日Autodesk发布了Design Review安全更新通告,本次安全更新中修复了7处漏洞 ,漏洞等级:高危,漏洞评分:8.9

Autodesk是在建筑、工程及制造业等行业的产品闻名软件公司,其拥有 AutoCAD,AutoCAD WS,Autodesk Alias,Autodesk Maya,Autodesk Design Review等多款软件,在全世界范围内拥有大量的客户。攻击者可以通过利用这些漏洞构造一个恶意的网页或文件诱使用户点击,从而控制用户的主机。

Autodesk系列产品通常用在企业内网的员工办公机上,攻击者通常会使用社会工程学的方式将身份伪装成求职者等其他身份向企业员工发送包含恶意代码的文件,当企业员工运行该文件时,攻击者便可在员工主机上直接执行任意代码,从而突破企业边界防御策略,直接入侵到企业办公网段。但是内存漏洞存在利用成本高、触发情况不稳定的情况,同时该漏洞需要用户参与点击,利用难度中。

对此,360CERT建议广大用户及时将Autodesk Design Review升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

0x02   风险等级

360CERT对该漏洞的评定结果如下

评定方式等级
威胁等级高危
影响面广泛
攻击者价值非常高
利用难度
360CERT评分8.9

0x03   漏洞详情

CVE-2021-27033: Design Review 内存多重释放漏洞

CVE: CVE-2021-27033

组件: Design Review

漏洞类型: 内存多重释放

影响: 接管用户计算机

简述: Autodesk Design Review 对PDF的处理过程中存在多重释放漏洞。攻击者通过诱使用户打开特制的网页或PDF文件,可利用该漏洞控制用户计算机。

CVE-2021-27034: Design Review 缓冲区溢出漏洞

CVE: CVE-2021-27034

组件: Design Review

漏洞类型: 缓冲区溢出

影响: 接管用户计算机

简述: Autodesk Design Review 解析 PICT 或 TIFF 文件过程中存在基于堆的缓冲区溢出漏洞。攻击者通过诱使用户打开特制的PICT 或 TIFF 文件,可利用该漏洞控制用户计算机。

CVE-2021-27035: Design Review 内存越界漏洞

CVE: CVE-2021-27035

组件: Design Review

漏洞类型: 内存越界

影响: 接管用户计算机

简述: Autodesk Design Review 解析 TIFF、PDF、PICT 或 DWF 文件时存在内容越界读取写入漏洞。攻击者通过诱使用户打开特制的TIFF、PDF、PICT 或 DWF 文件,可利用该漏洞控制用户计算机。

CVE-2021-27036: Design Review 内存越界写漏洞

CVE: CVE-2021-27036

组件: Design Review

漏洞类型: 内存越界写

影响: 接管用户计算机

简述: Autodesk Design Review 解析PDF、PICT 或 TIFF 文件时存在内容越界写入漏洞。攻击者通过诱使用户打开特制的PDF、PICT 或 TIFF 文件,可利用该漏洞控制用户计算机。

CVE-2021-27037: Design Review UAF漏洞

CVE: CVE-2021-27037

组件: Design Review

漏洞类型: UAF

影响: 接管用户计算机

简述: Autodesk Design Review 解析 PNG、PDF 或 DWF 文件时存在(UAF)内存释放后使用漏洞。攻击者通过诱使用户打开特制的 PNG、PDF 或 DWF 文件,可利用该漏洞控制用户计算机。

CVE-2021-27038: Design Review 类型混淆漏洞

CVE: CVE-2021-27038

组件: Design Review

漏洞类型: 类型混淆

影响: 接管用户计算机

简述: Autodesk Design Review 解析PDF文件时存在类型混淆漏洞。攻击者通过诱使用户打开特制的网页、PDF文件,可利用该漏洞控制用户计算机。

CVE-2021-27039: Design Review 内存越界漏洞

CVE: CVE-2021-27039

组件: Design Review

漏洞类型: 内存越界

影响: 接管用户计算机

简述: Autodesk Design Review 解析TIFF文件时存在内容越界读写漏洞。攻击者通过诱使用户打开特制的TIFF文件,可利用该漏洞控制用户计算机。

0x04   影响版本

软件影响版本安全版本
Autodesk Design Review20112018 Hotfix 3
Autodesk Design Review20122018 Hotfix 3
Autodesk Design Review20132018 Hotfix 3
Autodesk Design Review20172018 Hotfix 3
Autodesk Design Review20182018 Hotfix 3
Autodesk Design Review2018_hotfix_12018 Hotfix 3
Autodesk Design Review2018_hotfix_22018 Hotfix 3

0x05   修复建议

通用修补建议

Autodesk® Design Review 2013 或更早版本的客户需要按照Autodesk 知识网络中的安装说明升级到 2018 或更高版本。使用不再有获得全面支持的版本(<2013)的客户应计划尽快升级到受支持的版本,以避免受到安全漏洞影响。

0x06   产品侧解决方案

​若想了解更多产品信息或有相关业务需求,可移步至http://360.net。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。

360终端安全管理系统

360终端安全管理系统软件是在360安全大脑极智赋能下,以大数据、云计算等新技术为支撑,以可靠服务为保障,集防病毒与终端安全管控功能于一体的企业级安全产品。

360终端安全管理系统已支持对相关漏洞进行检测和修复,建议用户及时更新漏洞库并安装更新相关补丁。

0x07   时间线

2021-06-14 Autodesk发布通告

2021-06-24 360CERT发布通告

0x08   参考链接

1、 Vulnerabilities in the Autodesk® Design Review software

0x09   特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

Autodesk 多个高危漏洞通告

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。