Разработчик решений кибербезопасности Trend Micro подтвердил наличие двух критических уязвимостей нулевого дня в локальной консоли управления Apex One. Уязвимости, получившие идентификаторы CVE-2025-54948 и CVE-2025-54987, активно эксплуатируются злоумышленниками в реальных атаках и позволяют выполнение произвольного кода без аутентификации. Обе получили максимально возможную оценку по шкале CVSS v3.1 - 9.4 баллов, что подчеркивает их исключительную опасность для корпоративных инфраструктур по всему миру.
Детали уявзимостей
Уязвимости представляют собой недостатки типа "инъекция команд" (CWE-78). Они затрагивают исключительно локальные (on-premise) установки Trend Micro Apex One Management Console, работающие под управлением операционной системы Windows. Под угрозой находятся версии Management Server 14039 и ниже. Злоумышленник, имеющий доступ к консоли управления через сеть, может воспользоваться этими уязвимостями для загрузки вредоносного кода и выполнения произвольных команд на уязвимых серверах. Особую опасность представляет тот факт, что для успешной атаки не требуется предварительная аутентификация злоумышленника. Компания подтвердила, что уже зафиксированы случаи активного использования этих уязвимостей в дикой природе.
Технически, CVE-2025-54948 и CVE-2025-54987 представляют собой одну и ту же фундаментальную ошибку, но нацеленную на разные архитектуры центральных процессоров. Это существенно расширяет потенциальную поверхность атаки, позволяя злоумышленникам нацеливаться на более широкий спектр серверных сред в корпоративных сетях. Обе уязвимости были исследованы в рамках программы Trend Micro Zero Day Initiative (ZDI), где получили внутренние идентификаторы ZDI-CAN-27834 и ZDI-CAN-27855 соответственно. Важным фактором риска является публичная доступность IP-адресов консоли управления. Организациям, у которых консоль Apex One доступна извне периметра сети, настоятельно рекомендуется пересмотреть политики удаленного доступа и внедрить ограничения по источникам подключения.
В ответ на чрезвычайную ситуацию Trend Micro незамедлительно выпустила аварийное средство устранения риска под названием "FixTool_Aug2025". Этот инструмент доступен для скачивания клиентам через портал поддержки и обеспечивает немедленную защиту от известных эксплойтов, эксплуатирующих данные уязвимости. Однако временное решение имеет существенное ограничение функциональности: его применение приводит к отключению функции Remote Install Agent. Это означает, что администраторы временно теряют возможность развертывать агенты безопасности на конечных точках напрямую из консоли управления. При этом альтернативные методы развертывания, такие как использование сетевых путей (UNC) или установочных пакетов агентов, остаются полностью работоспособными.
Компания подчеркивает, что данный фикс-тул является временной мерой и обеспечивает полную защиту только от известных на текущий момент способов эксплуатации. Полноценное обновление безопасности (Critical Patch), которое устранит уязвимости на уровне кода и восстановит отключенную функциональность Remote Install Agent, находится в разработке. Его выпуск запланирован на середину августа 2025 года. Пользователям настоятельно рекомендуется установить временное средство устранения риска немедленно, не дожидаясь выхода основного патча.
Важное различие заключается в защищенности облачных сервисов. Пользователи Trend Micro Apex One as a Service и Trend Vision One Endpoint Security получили автоматическую защиту от этих уязвимостей еще 31 июля 2025 года. Соответствующие исправления были развернуты Trend Micro на бэкенд-инфраструктуре без какого-либо простоя или необходимости действий со стороны клиентов. Таким образом, риску подвержены исключительно локальные установки консоли управления Apex One, для которых применение временного средства устранения риска является критически важным шагом.
Обнаружение и анализ данных уязвимостей стали результатом совместной работы внутренней группы реагирования на инциденты Trend Micro (Incident Response Team) и внешнего независимого исследователя безопасности Джекки Хсиеха (Jacky Hsieh) из компании CoreCloud Tech. Исследователь сотрудничал с Trend Micro через программу ответственного разглашения Zero Day Initiative. Текущая ситуация служит суровым напоминанием о важности своевременного обновления систем безопасности и необходимости строгого контроля доступа к критически важным элементам инфраструктуры, таким как консоли управления. Администраторам систем Trend Micro Apex One следует принять рекомендованные меры защиты.
Ссылки
- https://success.trendmicro.com/en-US/solution/KA-0020652
- https://www.cve.org/CVERecord?id=CVE-2025-54948
- https://www.cve.org/CVERecord?id=CVE-2025-54987
