Trend Micro выпустила обновления безопасности для своих корпоративных продуктов - Apex One и Vision One Endpoint Security. Причина - сразу восемь уязвимостей, семь из которых позволяют локально повысить привилегии, а одна, самая опасная, дает возможность удаленно внедрить вредоносный код на компьютеры сотрудников. Ситуация осложняется тем, что атака с использованием этой конкретной уязвимости (CVE-2026-34926) уже зафиксирована в реальных условиях. Риск оценивается как высокий.
Речь идет о продуктах, которые защищают тысячи организаций по всему миру. Apex One - это классическое антивирусное решение для серверов и рабочих станций, а Vision One Endpoint Security - облачная платформа для конечных точек. Уязвимости затрагивают как локальную версию Apex One 2019 (On-prem), так и облачную версию (SaaS), а также агентов Vision One. Патчи уже выпущены, и компания настоятельно рекомендует установить их как можно скорее.
Что именно было обнаружено?
Вся цепочка из восьми ошибок безопасности получила идентификаторы CVE-2026-34926 - CVE-2026-34930 и CVE-2026-45206 - CVE-2026-45208. Самая примечательная - первая. Она представляет собой уязвимость обхода пути (directory traversal) на сервере Apex One. Поясним: злоумышленник, уже имеющий доступ к серверу с административными правами, может изменить ключевую таблицу на сервере и внедрить туда вредоносный код. Этот код затем автоматически распространится на все агенты - то есть на рабочие станции сотрудников. Атака возможна только в локальной (on-prem) версии, но последствия катастрофические: полный контроль над всей инфраструктурой.
Остальные семь уязвимостей - это ошибки проверки происхождения (origin validation) и состояния гонки (time-of-check time-of-use, сокращенно TOCTOU). Простыми словами: они позволяют локальному пользователю с минимальными правами (например, обычному сотруднику) повысить свои привилегии до уровня системы. То есть если злоумышленник уже получил возможность выполнять код на вашем компьютере (например, через фишинг), он может использовать эти ошибки, чтобы стать полноправным администратором устройства. Пять из них связаны с проверкой происхождения при общении между компонентами агента (разные механизмы - именованные каналы, межпроцессное взаимодействие, защита процессов). Еще одна - классическая уязвимость типа "проверил-использовал", когда программа проверяет доступ, но между проверкой и действием проходит время, за которое злоумышленник успевает подменить файл.
Кому угрожает опасность?
Под ударом оказались все организации, использующие Trend Micro Apex One on-prem версии 2019 года и младше (до сборки 17079), а также облачную версию Apex One as a Service и Vision One Endpoint Security с агентами ниже версии 14.0.20731. Никаких дополнительных условий для эксплуатации большинства уязвимостей не требуется - достаточно иметь локальный доступ к системе с низкими правами. А вот для атаки через CVE-2026-34926 злоумышленнику нужно сначала получить доступ к серверу Apex One и стать администратором (например, через другой взлом), но учитывая, что такая атака уже произошла, риски реальны.
Почему это событие - не рядовая новость?
Во-первых, наличие активной эксплуатации в условиях реальной угрозы - это всегда тревожный сигнал. Обычно уязвимости остаются теоретическими месяцами, но здесь злоумышленники уже нашли способ использовать CVE-2026-34926 до выхода патча. Это значит, что время на реагирование минимально. Во-вторых, уязвимости затрагивают критическую инфраструктуру защиты - сам антивирус перестает быть надежным, если его можно обойти или взломать. Атака может привести не только к утечке данных, но и к полной компрометации сети через внедрение вредоносного кода на все агенты.
Что делать?
Trend Micro уже выпустила обновления. Для локальной версии Apex One необходимо установить Service Pack 1 Build 17079 или Critical Patch Build 18012 (для тех, у кого уже был установлен SP1). Компания предупреждает, что предыдущий критический патч (17079) был отозван из-за другой проблемы, но те, кто его уже установил, защищены. Для облачной версии и Vision One SEP достаточно обновить агента до версии 14.0.20731 или выше. Также рекомендуется проверить политики удаленного доступа к серверам и актуальность периметральной защиты.
Кстати, важно отметить, что семь из восьми уязвимостей имеют рейтинг CVSS 7.8 - высокий уровень опасности. Только одна (CVE-2026-34926) получила 6.7 - средний, но именно она уже используется. Это хороший пример того, что недостаточно ориентироваться только на баллы: контекст эксплуатации и наличие реальных атак делают угрозу намного серьезнее.
В целом, ситуация подчеркивает важность своевременного обновления даже тех систем, которые считаются защищенными. Антивирусные продукты - не панацея, а часть экосистемы, которую нужно постоянно поддерживать в актуальном состоянии. Если ваша компания использует решения Trend Micro, проверьте версии агентов и сервера уже сегодня: официальные патчи доступны на странице поддержки.
Ссылки
- https://success.trendmicro.com/en-US/solution/KA-0023430
- https://www.cve.org/CVERecord?id=CVE-2026-45208
- https://www.cve.org/CVERecord?id=CVE-2026-45207
- https://www.cve.org/CVERecord?id=CVE-2026-45206
- https://www.cve.org/CVERecord?id=CVE-2026-34930
- https://www.cve.org/CVERecord?id=CVE-2026-34929
- https://www.cve.org/CVERecord?id=CVE-2026-34928
- https://www.cve.org/CVERecord?id=CVE-2026-34927
- https://www.cve.org/CVERecord?id=CVE-2026-34926
