В сфере информационной безопасности особое внимание всегда уделяется защитному ПО, так как его компрометация открывает злоумышленникам путь к самым ценным активам организации. Именно поэтому публикация данных о восьми новых уязвимостях в платформе защиты конечных точек Apex One от Trend Micro, включая две критического уровня опасности, стала значимым событием для корпоративных ИТ-отделов и специалистов по безопасности по всему миру. Данные недостатки, затрагивающие как локальные, так и облачные развертывания, требуют немедленного реагирования, поскольку позволяют удаленным атакующим без каких-либо учетных данных загружать и исполнять произвольный код на системах под управлением Windows.
Детали уязвимостей
Компания Trend Micro выпустила критическое обновление 24 февраля 2026 года, которое устраняет выявленные проблемы. Исправление, опубликованное под идентификатором решения KA-0022458, предназначено для локальной версии продукта Apex One 2019, работающей на платформах Windows и macOS. В официальном бюллетене безопасности за февраль 2026 года перечислены восемь уязвимостей, получивших идентификаторы от CVE-2025-71210 до CVE-2025-71217. Их оценка по шкале CVSS 3.1 варьируется от 7,2 до 9,8 баллов, что указывает на высокий и критический уровни опасности. Наиболее серьезными из них являются две уязвимости, набравшие максимальные 9,8 балла. Они связаны с консолью управления Apex One и используют недостатки типа «обход каталогов» для выполнения удаленного кода без аутентификации. Остальные шесть уязвимости оценены как высокоопасные и позволяют повысить привилегии на локальной системе как в среде Windows, так и в macOS.
Центральное место в этом бюллетене занимают уязвимости CVE-2025-71210 и CVE-2025-71211. Обе они эксплуатируют некорректную обработку последовательностей обхода каталогов в консоли управления Apex One. Это позволяет удаленному злоумышленнику, не проходящему аутентификацию, отправить специально сформированный HTTP-запрос для загрузки и выполнения произвольного кода. Хотя уязвимости затрагивают разные исполняемые файлы, их векторы атаки идентичны: они доступны по сети, не требуют аутентификации или взаимодействия с пользователем. На практике это означает, что если консоль управления выведена в интернет или доступна из других сегментов сети, атаковать её может любой внешний актор. Такая атака может стать первым шагом для полного закрепления в корпоративной сети, установки программ-вымогателей или кражи конфиденциальных данных.
Четыре уязвимости для Windows, связанные с повышением локальных привилегий, а именно CVE-2025-71212 и CVE-2025-71213, требуют от атакующего предварительного получения возможности выполнить код с низкими привилегиями. Несмотря на это, они остаются опасными, так как могут быть использованы в цепочке эксплуатации после первоначального проникновения в систему через фишинг или другую уязвимость. Что касается четырёх уязвимостей для macOS, их описание в бюллетене носит информационный характер. Проблемы CVE-2025-71214, CVE-2025-71215, CVE-2025-71216 и CVE-2025-71217 уже были устранены в середине и конце 2025 года через механизм автоматического обновления ActiveUpdate и в облачных выпусках SaaS. Это подчеркивает важность своевременного применения обновлений даже для, казалось бы, защищенных систем.
Затронутыми продуктами являются локальная версия Apex One 2019 для Windows, для которой необходимо применить исправление CP Build 14136, а также облачные сервисы Apex One as a Service и Trend Vision One Endpoint, где требуется обновить агенты безопасности до сборки 14.0.20315. Для версии Apex One для macOS все актуальные развертывания уже защищены, если они получали обновления в прошлом году. Между тем, просто установки патчей может быть недостаточно для полного устранения рисков, особенно связанных с критическими уязвимостями в консоли управления. Специалистам по кибербезопасности настоятельно рекомендуется пересмотреть архитектуру доступа к критически важной инфраструктуре. В частности, необходимо ограничить доступ к консоли управления Apex One только доверенными IP-адресами, запретив её публикацию в интернет. Кроме того, следует проверить и ужесточить политики удаленного доступа ко всем системам, связанным с обеспечением безопасности, и убедиться в актуальности всех периметровых средств защиты.
В свою очередь, данный инцидент служит важным напоминанием о том, что даже продукты, созданные для защиты, сами могут стать источником угрозы при наличии в них необнаруженных уязвимостей. Это требует от организаций комплексного подхода к безопасности, который включает не только своевременное обновление ПО, но и строгое следование принципам минимальных привилегий и сегментации сети. Регулярный аудит конфигураций и анализ логов SIEM-системы, то есть платформы для управления событиями информационной безопасности, также поможет вовремя обнаружить подозрительные активности, направленные на эксплуатацию подобных уязвимостей. Таким образом, оперативное применение предоставленных Trend Micro исправлений в сочетании с архитектурными мерами предосторожности является ключевым шагом для защиты корпоративных активов от потенциально разрушительных атак.
