Специалисты по кибербезопасности обнаружили опасную уязвимость в консоли управления антивирусного программного средства Trend Micro Apex One. Проблема получила идентификатор BDU:2026-07811, а также международный код CVE-2025-71210. Речь идет о критическом дефекте, который позволяет злоумышленнику удаленно выполнить произвольный код на сервере. По шкале CVSS версии 3.1 базовая оценка составила 9,8 балла из десяти возможных. Это означает максимальный уровень опасности.
Детали уязвимости
Ошибка относится к классу CWE-22 - неверное ограничение имени пути к каталогу. Простыми словами, в коде консоли управления отсутствовала надлежащая проверка передаваемых путей к файлам. Злоумышленник, манипулируя ресурсами системы, мог отправить специально сформированный запрос. В результате обработчик путей позволял выйти за пределы допустимых директорий. Такой прием в среде специалистов называют обходом пути. Если атакующий получал доступ к критическим системным файлам, он мог подменить их или запустить собственный вредоносный код.
Подтверждено, что уязвимость затрагивает две версии продукта. Первая - Trend Micro Apex One SaaS, то есть облачная версия, до версии 14.0.20315. Вторая - локальная версия (On-prem) до версии 14.0.0.14136. Обе версии работают под управлением операционной системы Windows. Важно подчеркнуть, что для эксплуатации уязвимости аутентификация не требуется. Нарушителю не нужно обладать учетной записью в системе. Достаточно сетевого доступа к уязвимой консоли управления.
Почему это событие важно для бизнеса и государственных организаций? Trend Micro Apex One - популярное средство защиты. Его используют тысячи компаний по всему миру. Консоль управления является ключевым узлом. Через нее администраторы настраивают политики безопасности, следят за событиями и управляют агентами на конечных устройствах. Если злоумышленник берет под контроль консоль, он фактически получает полный доступ ко всей инфраструктуре защиты. Дальнейшие сценарии развития атаки могут быть самыми разными.
Приведем наглядный пример. Предположим, компания использует Trend Micro Apex One On-prem. Сервер консоли управления доступен из корпоративной сети. Злоумышленник, проникнув во внутреннюю сеть через фишинговое письмо или уязвимость в другом сервисе, находит консоль. Он отправляет на нее специальный запрос с обходом пути. Сервер выполняет код, и атакующий получает полный контроль над консолью. Далее он может отключить антивирусную защиту на всех рабочих станциях, установить программы-вымогатели или украсть конфиденциальные данные.
Стоит отметить, что факт наличия эксплойта уже подтвержден. Исследователи безопасности опубликовали соответствующие сведения. Это означает, что в открытом доступе существуют готовые инструменты для атаки. Риск для незащищенных систем крайне высок. Любая задержка с установкой обновлений может привести к компрометации.
С точки зрения тактик и техник, данная уязвимость хорошо вписывается в матрицу MITRE ATT&CK. Обход пути позволяет атакующему выполнить код на сервере. Затем, используя полученный доступ, он может закрепиться в системе с помощью различных методов. Например, создать новую учетную запись администратора или установить скрытый удаленный доступ (backdoor). После этого злоумышленник способен развивать атаку горизонтально, переходя на другие серверы и рабочие станции.
Производитель оперативно отреагировал на угрозу. Компания Trend Micro выпустила исправления для обеих версий продукта. В бюллетене безопасности с номером KA-0022458 указаны точные версии, которые необходимо установить. Рекомендуется обновить программное обеспечение в кратчайшие сроки. Это единственный надежный способ закрыть уязвимость.
Что делать администраторам безопасности прямо сейчас? В первую очередь проверить версию установленного программного средства. Если используется Apex One SaaS, необходимо убедиться, что версия не ниже 14.0.20315. Для локальной версии критической отметкой является сборка 14.0.0.14136. Если ваша версия ниже, следует немедленно скачать обновление с официального сайта производителя. Установка патча не требует сложных действий. Обычно это автоматизированный процесс, который выполняется через саму консоль управления.
Для тех, кто временно не может установить обновление, можно применить компенсирующие меры. Например, ограничить сетевой доступ к консоли управления. Разрешить подключение только с доверенных IP-адресов администраторов. Использовать сетевые экраны и системы обнаружения вторжений (IDS). Также следует усилить мониторинг событий безопасности на предмет подозрительных запросов к консоли.
Подведем итог. Обнаружена критическая уязвимость в Trend Micro Apex One. Она позволяет выполнить произвольный код удаленно без аутентификации. Проблема связана с ошибкой ограничения пути к каталогу. Под угрозой обе версии продукта - облачная и локальная. Производитель выпустил исправления. Администраторам необходимо как можно скорее обновить программное обеспечение.
Ссылки
- https://bdu.fstec.ru/vul/2026-07811
- https://www.cve.org/CVERecord?id=CVE-2025-71210
- https://success.trendmicro.com/en-US/solution/KA-0022458
- https://www.zerodayinitiative.com/advisories/ZDI-26-136/
