Trend Microは、Apex Centralのオンプレミス版に存在する重大な脆弱性を修正しました。この欠陥により、リモートの攻撃者はSYSTEMレベルの権限(Windows環境における最高権限)で任意のコードを実行できる可能性がありました。
Apex Centralは、集中型のWebベース管理コンソールとして機能し、管理者が単一のインターフェースから多数のTrend Micro製品およびサービスを統合的に管理できるようにします。このプラットフォームは、ウイルス対策保護、コンテンツフィルタリング、脅威検知の運用に加え、シグネチャファイル、スキャンエンジン、迷惑メール対策のヒューリスティックといった重要コンポーネントの配布においても中核的な役割を担います。
CVE-2025-69258として識別されるこの脆弱性は、LoadLibraryEx系のエクスプロイトに分類されます。攻撃者により改ざんされたダイナミックリンクライブラリ(DLL)を読み込むよう、システムが誘導される可能性があります。このライブラリを重要なタイミングで密かに挿入することで、攻撃者の悪意あるコードが重要な実行ファイルに組み込まれ、SYSTEMコンテキストで起動されます。注目すべき点として、この攻撃にはローカルマシンの権限もユーザー操作も不要です。
技術的な詳細および概念実証(PoC)は、この脆弱性を最初にTrend Microへ報告したTenableによって公開されました。Tenableによれば、認証されていないリモート攻撃者は、MsgReceiver.exeプロセスに対して精巧に細工されたメッセージを送信できます。この特定コンポーネントはTCPポート20001を監視しており、その後のメッセージ処理の結果、攻撃者のコードが昇格したSYSTEM権限で実行されるに至ります。
アナリストは、侵入が成功するかどうかは特定の環境要因、とりわけ脆弱なシステムが外部のインターネット向けトラフィックにどの程度さらされているかに左右されると強調しています。それでも、こうした条件があるにもかかわらず、即時アップデートの必要性は揺るぎません。
パッチ適用に加えて、組織には重要インフラへのリモートアクセスを再評価し、境界防御およびセキュリティポリシーが最新であることを確認するよう推奨されています。メーカーは、悪用には特定の条件が必要である一方、最新ビルドへの移行が最も堅牢な防御策であると明確に述べています。
この修正はCritical Patch Build 7190の一部として提供され、同時に2件の追加脆弱性—CVE-2025-69259およびCVE-2025-69260—にも対処しています。これらはいずれもサービス拒否(DoS)状態を引き起こす可能性があり、同様に認証なしでリモートから悪用可能でした。
Apex Centralに関するリモートコード実行(RCE)の懸念は、今回が初めてではありません。3年前、同社は別のRCE脆弱性であるCVE-2022-26871を修正し、その時点で実環境における活発な悪用について警告を発していました。
翻訳元: https://meterpreter.org/the-apex-breach-critical-trend-micro-rce-grants-attackers-system-control/
