米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、重大なTrend Micro Apex Oneの脆弱性を既知の悪用脆弱性(KEV)カタログに追加し、この欠陥が実際に積極的に悪用されていると警告した。
CVE-2026-34926として追跡されているこの脆弱性は、Trend Micro Apex Oneのオンプレミス展開に影響を与え、エンタープライズ環境をエージェントレベルのコードインジェクションの潜在的なリスクにさらす。
CVE-2026-34926は、Apex Oneオンプレミスサーバーコンポーネントにおけるディレクトリトラバーサルの欠陥(CWE-23)を指している。
認証前のローカル攻撃者がこの脆弱性を悪用してサーバー上のキーテーブルを改ざんし、悪意のあるコードを注入すると、そのコードがネットワーク全体に展開された管理対象エージェントにプッシュされる、とCISAは述べている。
Trend MicroのインシデントレスポンスチームがこのIRを発見して報告し、ベンダーは実際(ITW)における少なくとも1件の悪用試みを確認したと認めている。
この脆弱性のCVSSv3.1スコアは6.7であり、攻撃の複雑性が高く、攻撃者がトラバーサルパスを悪用する前に別の手段で管理者資格情報を取得している必要があることを反映している。
注意:最初のCP 17079重要パッチは無関係の問題により一時的に取り下げられ、既存のSP1ユーザー向けにCP Build 18012に置き換えられた。以前に17079を適用した組織は引き続き保護されている。
セキュリティ製品の脆弱性は、標準的なエンタープライズアプリケーションの脆弱性と比較して、影響範囲が増幅される。
Apex Oneのオンプレミス管理コンソールは、Windowsフリート全体にわたるセキュリティポリシーの配布、エージェントの更新、エンドポイントのパッチ適用を制御する特権的な立場にある。
トラバーサルの欠陥を悪用して悪意のあるコードを注入することに成功した攻撃者は、組織内のすべての管理対象エンドポイントへの伝播ベクターを獲得し、実質的に防御者自身のインフラを兵器化することになる。
CISAがCVE-2026-34926をKEVカタログに掲載したことは、エンタープライズ環境での積極的な悪用の証拠を裏付けるものである。
拘束的運用指令(BOD)22-01のもと、すべての連邦民間行政機関(FCEB)は、2026年6月4日までにベンダーが推奨する緩和策を適用するか、影響を受ける製品の使用を中止することが義務付けられている。
ランサムウェアキャンペーンとの関連は現時点では未確認だが、分散エージェントへのサイレントなコードインジェクションを可能にするこの脆弱性の性質は、エンタープライズエンドポイント全体にわたる広範なラテラルムーブメントを求めるランサムウェアオペレーターやAPTグループにとって魅力的なツールとなる。
CISAは組織に対して直ちに対策を講じるよう勧告している:
オンプレミス構成でTrend Micro Apex Oneを運用している組織は、認証前要件が悪用の障壁を大幅に低下させることを考慮し、これを優先度の高い修復項目として扱うべきである。
セキュリティチームは、悪用後の活動を示す可能性のある異常なエージェントの挙動についてエンドポイントのテレメトリを確認することが推奨される。
翻訳元: https://cyberpress.org/exploited-trend-micro-apex/