- Trend Microが中程度の重大度のディレクトリトラバーサル脆弱性CVE‑2026‑34926をパッチ適用。Apex One(オンプレミス)のこの脆弱性により、ローカル管理者が悪意あるコードを注入可能
- 事前の管理者アクセスが必要であるにもかかわらず、このバグは既に野外で悪用されており、緊急のパッチ適用ガイダンスが発行されています
- CISAはそれをKEVカタログに追加し、BOD 22‑01指令に従い連邦機関に2026年6月4日までの更新または使用中止を求めています
Trend MicroのApex One製品の危険な脆弱性が野外で積極的に悪用されていると、研究者が警告し、ユーザーに提供されたパッチを早急に適用するよう促しています。
Apex Oneはマルウェア、ランサムウェア、ファイルレス攻撃、その他様々なサイバー脅威からエンタープライズデバイスを保護するために構築されたTrend Microのエンドポイント保護プラットフォーム(EPP)です。アンチウイルス機能、動作分析、機械学習、およびEDR/XDRの組み合わせを使用しています。一部の情報源は顧客数が数千と数えるほど、かなり人気があるようです。
同社は現在、Apex Oneのオンプレミス版のディレクトリトラバーサル脆弱性に対するパッチを発行しました。この脆弱性により、ローカルアクター(管理者権限を持つ)が悪意あるコードを注入できる可能性があります。
トークンのキャプチャ
「Apex One(オンプレミス)サーバーのディレクトリトラバーサル脆弱性により、事前に認証されたローカル攻撃者がサーバー上のキーテーブルを変更して、影響を受けたインストール環境のエージェントにデプロイする悪意あるコードを注入できる可能性があります。」と、NVDエントリは述べています。
「この脆弱性はApex Oneのオンプレミス版でのみ悪用可能であり、攻撃者はApex Oneサーバーにアクセスでき、何らかの他の方法でサーバーへの管理者認証情報を既に取得している必要があります。」
このバグはCVE-2026-34926として追跡されており、重大度スコアは6.7/10(中程度)です。
すべてが比較的低リスクの脆弱性を示唆していますが、Trend Microは既に「少なくとも1つ」の悪用試行が見られたと述べています。
1つの試行がCISAの既知の悪用脆弱性(KEV)データベースにリストされるのに十分かどうかは不明ですが、米国機関はそれを行いました。先週木曜日、CISAはカタログに新しいエントリを公開し、連邦文民行政支部(FCEB)機関にパッチを適用するか、Apex Oneの使用を完全に停止するまでの6月4日のデッドラインを与えました。
「このような種類の脆弱性は悪意あるサイバー行為者の頻繁な攻撃ベクトルであり、連邦企業に重大なリスクをもたらします。」CISAは述べました。「ベンダーの指示に従い軽減策を適用するか、クラウドサービスに対して適用可能なBOD 22-01ガイダンスに従うか、軽減策が利用できない場合は製品の使用を中止してください。」
