Консоль управления антивирусным решением, призванным защищать корпоративную инфраструктуру, сама превратилась в уязвимое звено. Специалисты подтвердили существование критической ошибки в продукте Trend Micro Apex One. Эта уязвимость позволяет удалённому злоумышленнику выполнить произвольный код, не требуя ни аутентификации, ни взаимодействия с пользователем. Ситуация осложняется тем, что для атаки уже существует готовое средство эксплуатации.
Детали уязвимости
Ошибка получила идентификатор CVE-2025-71211, а также номер BDU:2026-07812 в российском Банке данных угроз безопасности информации. Её уровень опасности оценён как критический: по шкале CVSS 3.1 базовый балл достиг 9,8 из 10 возможных. Это означает, что атака может быть проведена удалённо, не требует специальных привилегий и ведёт к полной компрометации конфиденциальности, целостности и доступности системы. Иными словами, злоумышленник получает полный контроль над поражённым узлом.
Причина проблемы кроется в неверном ограничении имени пути к каталогу. Классификация ошибки соответствует CWE-22, что в мире информационной безопасности известно как "обход пути". Суть этой уязвимости проста: из-за некорректной фильтрации входящих данных атакующий может указать путь за пределы разрешённой директории. В случае с консолью Trend Micro Apex One это позволяет манипулировать ресурсами сервера и в конечном счёте выполнить вредоносный код.
Под удар попали обе версии продукта: облачная (SaaS) до версии 14.0.20315 и локальная (On-prem) до версии 14.0.0.14136. Оба варианта работают под управлением операционной системы Windows. Учитывая, что Apex One - это корпоративное антивирусное средство, его часто разворачивают в компаниях среднего и крупного бизнеса, в государственных учреждениях и на критической инфраструктуре. Именно эти организации становятся потенциальными целями для атак.
Исследователи из Zero Day Initiative (ZDI, программа по поиску уязвимостей нулевого дня) уже опубликовали детали инцидента. Сам факт существования готового эксплойта переводит ситуацию из разряда теоретических угроз в плоскость реальных рисков. Вследствие этого администраторам безопасности необходимо действовать незамедлительно. Производитель, компания Trend Micro, подтвердила наличие уязвимости и выпустила обновления для обеих редакций продукта. Соответствующие патчи доступны на официальном портале технической поддержки вендора.
Помимо прямых рекомендаций по установке исправлений, следует обратить внимание на общий принцип защиты: ни одно программное обеспечение, даже предназначенное для обеспечения безопасности, не застраховано от ошибок. Антивирусные решения имеют высокий уровень привилегий в системе, потому что им необходим доступ к ядру и файловой системе. Если злоумышленник получает контроль над таким приложением, он автоматически получает доступ и ко всем защищаемым данным. Именно поэтому критические уязвимости в средствах защиты считаются одними из самых опасных.
Для специалистов по информационной безопасности данный инцидент служит напоминанием о важности своевременного обновления не только операционных систем и прикладного ПО, но и самих защитных механизмов. В данном случае атака не требует от жертвы никаких действий: достаточно, чтобы консоль управления была доступна по сети. Это делает уязвимость особенно привлекательной для массовых сканирований и автоматизированных атак.
Рекомендуемый способ устранения - установка обновления до версии 14.0.20315 для SaaS и до 14.0.0.14136 для On-prem. Техническую поддержку и инструкции по обновлению можно найти на сайте Trend Micro по ссылке, указанной в бюллетене безопасности. Если немедленное обновление по каким-то причинам невозможно, стоит временно ограничить доступ к консоли управления из внешних сетей и усилить мониторинг подозрительной активности на серверах антивирусной защиты.
Подытоживая, ситуация с CVE-2025-71211 наглядно демонстрирует, что даже доверенные компоненты инфраструктуры могут стать точкой входа для нарушителя. Критический уровень опасности, наличие рабочего эксплойта и удалённый вектор атаки делают эту уязвимость высоким приоритетом для устранения. Организациям, использующим Trend Micro Apex One, настоятельно рекомендуется провести внеочередное обновление в кратчайшие сроки.
Ссылки
- https://bdu.fstec.ru/vul/2026-07812
- https://www.cve.org/CVERecord?id=CVE-2025-71211
- https://www.zerodayinitiative.com/advisories/ZDI-26-137/
- https://success.trendmicro.com/en-US/solution/KA-0022458
