趋势科技修复了家庭网络安全设备中的3个漏洞

趋势科技修复了趋势科技家庭网络安全设备中的一些漏洞，这些漏洞可能被利用来提升特权或实现任意身份验证。

趋势科技修复了家庭网络安全设备中的三个漏洞，可以利用这些漏洞来提升特权或实现任意身份验证。

激活后，家庭网络安全工作站将扫描所有传入和传出您的家庭网络的流量，

从而防止入侵，阻止黑客攻击和网络威胁，并保护所有者的隐私。

Cisco Talos的专家报告了该安全公司解决的缺陷。

“ TALOS-2021-1230  （CVE-2021-32457）和 TALOS-2021-1231  （CVE-2021-32458）是特权提升漏洞，可能使攻击者获得目标设备上的提升权限。另一个漏洞 TALOS-2021-1241  （CVE-2021-32459）在设备上存在一套硬编码的凭据，攻击者可以利用该凭据来创建文件，更改文件权限以及将任意数据上传到SFTP服务器。” 读取Talos发布的分析。

CVE-2021-32457和CVE-2021-32458都是基于iotcl堆栈的缓冲区溢出，攻击者可能利用该溢出来提升特权。该漏洞影响趋势科技家庭网络安全版本6.6.604和更早的版本，攻击者可能会利用它们来发布特制的iotcl来升级易受攻击的设备上的特权。

该漏洞只能由能够在目标设备上执行低特权代码的攻击者触发。该漏洞的CVSS v3评分为7.8

第三个缺陷被跟踪为CVE-2021-32459，它是一个日志服务器硬编码的密码漏洞，它会影响趋势科技家庭网络安全6.6.604及更早版本。攻击者可以使用特制的网络请求来利用此缺陷，该请求将导致任意身份验证。

该漏洞只能由能够在目标设备上执行高特权代码的攻击者利用。

趋势科技目前尚未收到任何报告，也未发现针对与此漏洞相关的受影响产品的任何实际攻击。该漏洞的CVSS v3评分为4.9。

“趋势科技已发布了针对趋势科技家庭网络安全性消费类设备的固件更新，该更新有多个漏洞，这些漏洞与基于iotcl堆栈的缓冲区溢出特权升级和硬编码的日志服务器密码有关。” 读取咨询趋势科技公布。

趋势科技尚未意识到利用上述漏洞进行的野蛮攻击，该公司已发布版本6.1.567以解决该漏洞。

思科Talos发布了SNORT规则来检测针对以下漏洞的利用尝试：51719 – 57122。