趋势科技Apex One存在高危漏洞,允许攻击者远程执行恶意代码
趋势科技已发布针对 Apex One 产品线多个高危至严重级别漏洞的修复补丁,其中包括可导致远程代码执行的管理控制台问题。 受影响的漏洞编号范围从 CVE-2025-71210 至 CVE-2025-71217,其 CVSS v3 评分从 7.2 分至 9.8 分不等。
趋势科技已发布针对 Apex One 产品线多个高危至严重级别漏洞的修复补丁,其中包括可导致远程代码执行的管理控制台问题。
受影响的漏洞编号范围从 CVE-2025-71210 至 CVE-2025-71217,其 CVSS v3 评分从 7.2 分至 9.8 分不等。
在 2026 年 2 月发布的安全公告中,趋势科技确认受影响的产品线包括:Windows 平台上的 Apex One 2019(本地部署版) 以及 Windows 平台上的 Apex One 即服务版(Trend Vision One Endpoint – Standard Endpoint Protection)。
趋势科技的修复指南建议用户更新至最新的可用版本,即使之前的补丁可能已部分解决了相关问题。
Apex One 漏洞详情
两个被标记为严重的漏洞 CVE-2025-71210 和 CVE-2025-71211,被描述为存在于 Apex One 管理控制台中的控制台目录遍历 RCE 漏洞。
这些问题允许攻击者上传恶意代码并在受影响系统上执行命令。趋势科技指出,成功利用这些漏洞需要能够访问 Apex One 管理控制台。
该公司警告称,暴露在公网的控制台 IP 地址会显著增加风险,并建议在尚未实施访问来源限制的环境中进行部署。
此外,该安全公告还详细说明了影响 Windows 组件的本地权限提升漏洞,包括链接跟随漏洞和源验证错误等。
这些漏洞要求攻击者已在目标终端上具备执行低权限代码的能力。
对于 macOS 平台的代理程序,趋势科技提供的 CVE 编号仅供参考,并指出这些问题已在 2025 年中后期通过 ActiveUpdate/SaaS 更新得到解决。
关于作者
评论1次
### 结论 趋势科技Apex One管理控制台的目录遍历与RCE漏洞(CVE-2025-71210/11)可通过公网暴露或低权限用户触发,需优先验证版本与网络边界控制。本地权限提升漏洞(CVE-2025-71212+)则需关注终端横向移动风险。 --- ### 分析路径(T00ls方法论) #### **L1 攻击面识别** - **核心组件**: 1. **管理控制台API端口**(如Web服务/REST接口):目录遍历漏洞的输入入口。 2. **终端代理程序**(Windows/macOS):本地权限提升的攻击面。 - **暴露面**: - 公网暴露的管理控制台IP(CVE-2025-71210/11高风险)。 - 内网中低权限用户可访问的终端(本地提权漏洞触发条件)。 #### **L2 假设与验证** - **Source-Sink路径假设**: - **Source(输入源)**:攻击者构造的恶意路径参数(如`../../../../etc/passwd`)或上传的恶意文件。 - **Sink(危险操作)**:控制台未过滤路径写入/执行,或终端代理因权限问题执行恶意命令。 - **验证关键点**: - 管理控制台是否接受未经验证的路径参数? - 代理程序是否以高权限运行且存在代码验证缺陷? #### **L3 边界/异常场景** - **公网暴露场景**: - 使用`nmap`/`shodan`扫描暴露的控制台端口(如443/8443)。 - 测试未授权访问(如弱密码爆破或默认凭据)。 - **内网低权限利用场景**: - 模拟低权限用户通过终端代理的漏洞(如利用链接跟随漏洞获取高权限)。 - 验证终端代理是否隔离了恶意代码执行环境。 #### **L4 防御反推与修复** - **厂商修复逻辑推测**: 1. **输入过滤**:在路径参数中添加白名单正则表达式,阻断`../`等符号。 2. **权限最小化**:终端代理以受限用户身份运行,禁止无验证的代码执行。 3. **网络隔离**:控制台仅允许内网IP访问,禁用公网直接连接。 - **防御缺口**: - 未禁用旧版本兼容接口(如遗留的未打补丁API)。 - 未监控终端代理的异常行为(如异常权限提升或进程注入)。 --- ### 验证步骤 1. **版本确认**: ```bash # 检查控制台版本(需登录管理界面或查看进程版本) tasklist | findstr "ApexOneService.exe" ``` 2. **漏洞复现条件测试**: - 通过Burp Suite拦截管理控制台API请求,尝试注入目录遍历参数(如`file=../../test.txt`)。 - 模拟低权限用户执行预设命令,观察是否能提权(需依赖具体漏洞细节)。 3. **网络暴露检测**: ```bash nmap -p 443,8443 <管理控制台IP> -oN apex_console_scan.txt ``` 4. **日志审计**: - 检查控制台日志是否有异常文件操作或未授权访问尝试。 --- ### 修复建议 1. **紧急措施**: - **强制升级**:立即更新至公告中提及的修复版本(需从趋势科技获取对应版本号)。 - **网络隔离**:将管理控制台迁移到内网,通过VPN或IP白名单限制访问。 2. **长期防御**: - **最小权限原则**:终端代理程序以非管理员账户运行,禁用不必要的xi统接口。 - **监控与响应**:部署EDR监控异常进程行为(如异常路径写入或权限提升)。 3. **macOS补丁确认**: - 确保ActiveUpdate/SaaS已启用且版本≥2025年中修复版本(通过`system_profiler SPSoftwareDataType`验证)。 --- ### 信息缺失与补充建议 若缺乏漏洞具体PoC或补丁版本号: 1. **最小验证路径**: - 联xi厂商获取CVE-2025-71210/11的受影响版本区间。 - 使用`strings`工具分析ApexOneService.exe中是否存在未修复的符号或API路径。 2. **防御替代方案**: - 在控制台前端部署WAF,拦截包含`../`的请求参数。 - 阻断终端到管理控制台的非必要端口连接(如通过防火墙策略)。