修订历史记录

• 1.0：2020 年 12 月 23 日：初始版
• 1.1：2021 年 1 月 8 日：添加了 CVE ID，更新了“补救措施”和“缓解方案”部分

摘要

Veritas 在持续测试过程中发现了一个问题，即 Veritas APTARE IT Analytics 可能会允许攻击者以管理员权限运行任意代码。

问题

CVE ID：CVE-2020-36161
严重性：严重
CVSS v3.1 基础评分：9.3 (AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)

APTARE 应用程序启动时会加载 OpenSSL 库，此库尝试从以下位置加载不存在的配置文件：

• APTARE 10.4 及先前版本：\apache24\conf\openssl.cnf
• APTARE 10.5：\usr\local\ssl\openssl.cnf

默认情况下，用户可在 Windows 系统的 C:\ 下创建目录。Windows 系统上不具备任何 APTARE 权限的低权限用户可在上述配置文件位置创建目录。Windows 系统重启时，恶意 OpenSSL 引擎可能会以 SYSTEM 身份执行任意代码。这会授予攻击者对系统的管理员访问权限，进而允许攻击者（默认情况下）访问所有数据以及所有已安装的应用程序等。此外，在 Veritas 使用适用于 Linux 服务器的 APTARE 分发的 Openssl 可执行文件中，还存在一个启用类似访问权限的相关漏洞。

受影响的版本

APTARE 运维数据透视分析平台版本 10.5 和 10.4。

补救措施

签署了当前维护合同的客户可以按照以下说明下载并安装更新和修补程序：

• 如果您使用的是 APTARE 运维数据透视分析平台 10.5：
• 请安装 APTARE 运维数据透视分析平台维护版本 10.5P3
• 如果您使用的是 APTARE 运维数据透视分析平台 10.4：
• 请安装 APTARE 运维数据透视分析平台维护版本 10.4P9

Veritas Update 中提供这些维护版本，可供自动下载和安装。

如果您使用的是 APTARE 运维数据透视分析平台 10.3 或更早版本，Veritas 建议升级到 APTARE 运维数据透视分析平台 10.5。

有关可用更新，请查看 Veritas 下载中心：https://www.veritas.com/support/zh_CN/downloads

缓解方案

在 Windows 实施中，使用管理员帐户创建上述目录路径并在目录上设置 ACL，以拒绝其他所有用户的写入权限。此举将阻止攻击者安装恶意 OpenSSL 引擎。此外，还需在 Windows C:\opt\apache\bin\openssl.exe 和/或 Linux /opt/apache/ssl/bin/openssl 中删除 OpenSSL 可执行文件。有关更详细的手动步骤，请参阅 APTARE 运维数据透视分析平台安全漏洞支持文章。

疑问

如有关于这些漏洞的疑问或问题，请联系 Veritas 技术支持 (https://www.veritas.com/support/zh_CN)。