Trend Micro 警告 Apex One 存在严重远程代码执行漏洞
日本网络安全软件公司 Trend Micro 修补了两个影响 Apex One 的严重安全漏洞,这些漏洞可能使攻击者在受影响的 Windows 系统上实现远程代码执行(RCE)。这两个漏洞均源于管理控制台中的路径遍历问题。虽然目前尚无证据表明这些漏洞已被实际利用,但 Trend Micro 强烈建议用户尽快更新至最新版本。美国网络安全与基础设施安全局(CISA)目前正在跟踪多个已被利用或正在被利用的 Apex One 漏洞。
日本网络安全软件公司 Trend Micro 已修补两个严重的 Apex One 漏洞,这些漏洞允许攻击者在存在漏洞的 Windows 系统上实现远程代码执行(RCE)。
Apex One 是一款终端安全平台,用于检测和响应包括恶意软件、间谍软件、恶意工具及系统漏洞在内的安全威胁。
本周修补的第一个严重安全漏洞(CVE-2025-71210)源于 Trend Micro Apex One 管理控制台中的路径遍历弱点,使未具备特权的攻击者能够在未打补丁的系统上执行恶意代码。
第二个漏洞编号为 CVE-2025-71211,同样是 Apex One 管理控制台中的路径遍历漏洞,在影响范围上类似于 CVE-2025-71210,但影响的是不同的可执行文件。
Trend Micro 在周二发布的安全公告中解释称,成功利用这些漏洞需要攻击者“能够访问 Trend Micro Apex One 管理控制台,因此,若客户的控制台 IP 地址对外暴露,应考虑采取来源限制等缓解措施(如尚未实施)。”
公司警告称:“即使漏洞利用可能需要满足若干特定条件,Trend Micro 仍强烈建议客户尽快更新至最新版本。”
为解决这些严重安全问题,Trend Micro 已在 SaaS 版本的 Apex One 中修补相关漏洞,并发布了关键补丁版本 Build 14136。该补丁还修复了 Windows 代理中的两个高危权限提升漏洞,以及影响 macOS 代理的另外四个漏洞。
尽管 Trend Micro 尚未确认这些漏洞已在现实环境中被利用,但在过去几年中,威胁行为者曾多次利用其他 Apex One 漏洞发起攻击。
例如,Trend Micro 曾在 2025 年 8 月警告客户修补一个正在被积极利用的 Apex One 远程代码执行漏洞(CVE-2025-54948);此外,公司还在 2022 年 9 月(CVE-2022-40139)和 2023 年 9 月(CVE-2023-41179)修复了两个在野外被利用的 Apex One 零日漏洞。
目前,美国网络安全与基础设施安全局(CISA)正在跟踪 10 个 Trend Micro Apex 漏洞,这些漏洞已被或仍在被现实攻击活动所利用。
关于作者
评论1次
### 结论 CVE-2025-71210/71211均为Apex One管理控制台路径遍历漏洞,攻击者通过构造恶意路径可触发RCE。关键风险点在于未授权访问或管理控制台暴露于公网,需优先验证攻击面暴露情况及源路径拼接逻辑。 --- ### 分析路径 **L1攻击面识别** 1. **源(Source)**:管理控制台的API或Web接口接收的路径参数(如文件上传、配置更新接口)。 2. **Sink**:文件操作函数(如`CreateFile`、`WriteFile`)直接拼接未经验证的路径参数,导致路径遍历。 3. **关键组件**: - 受影响的可执行文件(CVE-71211中提到的“不同可执行文件”需重点排查)。 - 管理控制台与代理组件的通信接口。 **L2假设与验证** 1. **假设**:攻击者通过构造恶意路径参数(如`../../../etc/passwd`),覆盖xi统敏感文件或写入可执行恶意代码。 2. **验证点**: - 检查路径拼接逻辑是否过滤`../`、绝对路径或符号链接。 - 验证漏洞利用是否需特定条件(如低权限账户、代理配置状态)。 **L3边界/异常场景** 1. **边界条件**: - 路径长度限制绕过(如超长路径、Unicode编码路径)。 - 特殊协议路径(如`file://`或UNC路径`\\SHARE`)。 2. **异常场景**: - 攻击者利用未修复的Windows/macOS代理漏洞提升权限,结合路径遍历扩大影响。 - 控制台暴露于公网但无IP白名单限制,允许未授权访问。 **L4防御反推与修复** 1. **防御绕过点**: - 若依赖黑名单过滤`../`,攻击者可能使用编码变体(如URL编码`%2E%2E%2F`)。 - 权限隔离不足:即使攻击者低权限,若写入路径位于高权限进程的工作目录,可能导致代码执行。 2. **修复思路**: - **源端控制**:强制路径规范化(如Canonicalize)并限制路径范围。 - **Sink端加固**:对文件操作进行白名单校验,禁止写入敏感目录。 --- ### 验证步骤 1. **攻击面测绘**: - 确认Apex One管理控制台是否暴露于公网(`nmap`或Shodan搜索目标IP的443/8443端口)。 - 检查控制台版本是否低于Build 14136。 2. **PoC测试(需授权)**: - 构造恶意路径参数尝试写入`C:\Windows\System32\malware.exe`(参考Trend Micro的测试案例)。 - 验证写入文件是否可被Apex One进程加载或xi统触发执行。 3. **权限验证**: - 使用低权限账户尝试利用漏洞,确认是否需要管理员权限。 --- ### 修复建议 1. **紧急措施**: - 立即升级至Build 14136,禁用公网访问或配置防火墙仅允许信任IP访问管理控制台。 2. **长期防御**: - 在WAF/Nginx等中间件中添加路径参数过滤规则(如`/etc/passwd`、`../`黑名单)。 - 对Apex One组件进行权限最小化部署(如代理进程使用受限服务账户)。 3. **监控与审计**: - 检查xi统日志中异常的文件写入操作(如`WriteFile`事件ID 4663)。 - 定期扫描Apex One配置,确保无旧版本或未打补丁的组件残留。 --- ### 缺失信息补充 若无漏洞细节,最小验证路径为: 1. 确认管理控制台网络隔离状态; 2. 强制升级并监控升级后的行为日志; 3. 执行厂商提供的检测脚本(如有)。