コンテンツにスキップするには Enter キーを押してください

攻撃者がトレンドマイクロ Apex One の重大なゼロデイ脆弱性を悪用

投稿日 2025年8月7日

白い六角形に赤字で「zero day」と書かれている

出典:Profit Image / Shutterstock

トレンドマイクロは、複数のエンタープライズ向けエンドポイントセキュリティ製品の管理コンソールにおいて、2件の重大なゼロデイ脆弱性を特定しました。そのうちの1件はすでに悪用されています。

コマンドインジェクションの脆弱性(CVE-2025-54948およびCVE-2025-54987として追跡)は、Windowsシステム上のトレンドマイクロ Apex One 管理コンソールに影響を与えます。悪用された場合、認証済みの攻撃者が任意のコードを実行できると、同社は昨日のセキュリティ速報で明らかにしました。影響を受ける製品は、Apex One オンプレミス(2019)、管理サーバーバージョン14039以下、Trend Micro Apex One as a Service、Trend Vision One Endpoint Security – Standard Endpoint Protection です。

CVE-2025-54948は、認証前のリモート攻撃者が悪意のあるコードをアップロードし、影響を受けるインストール環境でコマンドを実行できる可能性があります。この脆弱性は「管理コンソールのバックエンドにおける入力検証の不十分さが原因で、ユーザーからの入力が適切なサニタイズなしにシステムレベルの実行関数に渡されてしまう」ために発生すると、セキュリティベンダーZeroPathの研究者によるブログ記事で説明されています。

これにより、ZeroPathによれば、管理コンソールインターフェースにアクセスできる攻撃者がOSコマンドを注入するペイロードを作成し、コンソールプロセスの権限でリモートコード実行が可能になります。

CVE-2025-54987は、基本的にはCVE-2025-54948と同じですが、異なるCPUアーキテクチャを対象としているとトレンドマイクロは述べています。さらに、「この種の脆弱性を悪用するには、通常、攻撃者が脆弱なマシンへのアクセス(物理的またはリモート)を持っている必要がある」と同社はアドバイザリで述べています。

どちらのCVEが実際に悪用されているかは不明です。トレンドマイクロはアドバイザリで「これらの脆弱性のうち少なくとも1件を実際に悪用しようとする試みが確認された」と述べていますが、どちらが攻撃対象となったかは明らかにしていません。

トレンドマイクロは、CVE-2025-54948の特定については同社のインシデントレスポンス(IR)チームに、CVE-2025-54948およびCVE-2025-54987の特定についてはTrend Zero Day Initiativeと連携したCoreCloud TechのJacky Hsieh氏にクレジットを与えています。

パッチ作業中

トレンドマイクロは、Apex Oneのオンプレミスバージョン向けのパッチを現在も開発中であり、8月中旬にリリース予定としています。それまでの間、同社はアドバイザリに記載された短期的な緩和策を適用するよう組織に呼びかけています。

一方、Trend Micro Apex One as a ServiceおよびTrend Vision One Endpoint Security – Standard Endpoint Protectionについては、7月31日のアップデートで既に脆弱性が修正されており、ユーザーは速やかに適用するよう同社は述べています。

日本のJP-CERTもApex Oneユーザー向けに警告を発し、既に少なくとも1件の脆弱性が実際に悪用されていることから、利用可能なアップデートや修正をApex Oneの導入環境に適用するよう呼びかけています。

パッチや更新されたソリューションを適時適用することに加え、トレンドマイクロは顧客に対し、重要なシステムへのリモートアクセスを見直し、ポリシーや境界セキュリティが最新であることを確認するよう勧めています。

王国の鍵

セキュリティソフトウェアの脆弱性は、攻撃者にとって主要な標的です。なぜなら、これらの製品がネットワークの境界に位置し、制御を奪われると広範な権限やアクセスを獲得できるため、いわば「王国の鍵」を握っているからです。ここから攻撃者は企業ネットワークにアクセスし、ランサムウェアの展開、サイバースパイ活動、持続的な侵入、その他の悪意ある活動を行うことが可能となります。

実際、ZeroPathの研究者は、これらの脆弱性が「Apex Oneに依存してエンドポイントセキュリティを管理している組織にとって重大な懸念事項」であり、攻撃者が「企業のセキュリティ基盤を完全に制御する」可能性があるため、組織に対して深刻に受け止めるよう呼びかけています。

トレンドマイクロは以前にも、Apex Oneにおけるゼロデイ脆弱性が実際に悪用された際にパッチを提供しています。2年前には、CVE-2023-41179として追跡された管理コンソールの脆弱性が攻撃者に悪用され、その年のセキュリティ製品に対する一連の攻撃の一部となりました。

翻訳元: https://www.darkreading.com/vulnerabilities-threats/attackers-exploit-trend-micro-apex-one-zero-day-flaw

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です