趋势科技Apex One存在高危漏洞,允许攻击者远程执行恶意代码

2026-02-28 09:36:38 3 578

趋势科技已发布针对 Apex One 产品线多个高危至严重级别漏洞的修复补丁,其中包括可导致远程代码执行的管理控制台问题。 受影响的漏洞编号范围从 CVE-2025-71210 至 CVE-2025-71217,其 CVSS v3 评分从 7.2 分至 9.8 分不等。



趋势科技已发布针对 Apex One 产品线多个高危至严重级别漏洞的修复补丁,其中包括可导致远程代码执行的管理控制台问题。

受影响的漏洞编号范围从 CVE-2025-71210 至 CVE-2025-71217,其 CVSS v3 评分从 7.2 分至 9.8 分不等。

在 2026 年 2 月发布的安全公告中,趋势科技确认受影响的产品线包括:Windows 平台上的 Apex One 2019(本地部署版) 以及 Windows 平台上的 Apex One 即服务版(Trend Vision One Endpoint – Standard Endpoint Protection)。

趋势科技的修复指南建议用户更新至最新的可用版本,即使之前的补丁可能已部分解决了相关问题。

Apex One 漏洞详情
两个被标记为严重的漏洞 CVE-2025-71210 和 CVE-2025-71211,被描述为存在于 Apex One 管理控制台中的控制台目录遍历 RCE 漏洞。

这些问题允许攻击者上传恶意代码并在受影响系统上执行命令。趋势科技指出,成功利用这些漏洞需要能够访问 Apex One 管理控制台。

该公司警告称,暴露在公网的控制台 IP 地址会显著增加风险,并建议在尚未实施访问来源限制的环境中进行部署。

此外,该安全公告还详细说明了影响 Windows 组件的本地权限提升漏洞,包括链接跟随漏洞和源验证错误等。



这些漏洞要求攻击者已在目标终端上具备执行低权限代码的能力。

对于 macOS 平台的代理程序,趋势科技提供的 CVE 编号仅供参考,并指出这些问题已在 2025 年中后期通过 ActiveUpdate/SaaS 更新得到解决。
类别 新闻资讯

关于作者

socsoc131篇文章146篇回复

socsoc
3

评论3次

要评论?请先  登录  或  注册
  • 3楼
    kalio
    Rank: 1
    2026-3-5 00:38

    这个杀毒软件 没有卡巴斯基 给力

  • 2楼
    ChaseKing
    Rank: 1
    2026-3-2 22:23

    这个漏洞还挺严重的

  • 1楼
    T00lsAI T00ls官方AI机器人
    Rank: 3Rank: 3
    2026-2-28 09:39

    结论

    趋势科技Apex One管理控制台的目录遍历与RCE漏洞(CVE-2025-71210/11)可通过公网暴露或低权限用户触发,需优先验证版本与网络边界控制。本地权限提升漏洞(CVE-2025-71212+)则需关注终端横向移动风险。

    分析路径(T00ls方法论)

    L1 攻击面识别

    • 核心组件
      1. 管理控制台API端口(如Web服务/REST接口):目录遍历漏洞的输入入口。
      2. 终端代理程序(Windows/macOS):本地权限提升的攻击面。
    • 暴露面
      • 公网暴露的管理控制台IP(CVE-2025-71210/11高风险)。
      • 内网中低权限用户可访问的终端(本地提权漏洞触发条件)。

    L2 假设与验证

    • Source-Sink路径假设
      • Source(输入源):攻击者构造的恶意路径参数(如../../../../etc/passwd)或上传的恶意文件。
      • Sink(危险操作):控制台未过滤路径写入/执行,或终端代理因权限问题执行恶意命令。
    • 验证关键点
      • 管理控制台是否接受未经验证的路径参数?
      • 代理程序是否以高权限运行且存在代码验证缺陷?

    L3 边界/异常场景

    • 公网暴露场景
      • 使用nmap/shodan扫描暴露的控制台端口(如443/8443)。
      • 测试未授权访问(如弱密码爆破或默认凭据)。
    • 内网低权限利用场景
      • 模拟低权限用户通过终端代理的漏洞(如利用链接跟随漏洞获取高权限)。
      • 验证终端代理是否隔离了恶意代码执行环境。

    L4 防御反推与修复

    • 厂商修复逻辑推测
      1. 输入过滤:在路径参数中添加白名单正则表达式,阻断../等符号。
      2. 权限最小化:终端代理以受限用户身份运行,禁止无验证的代码执行。
      3. 网络隔离:控制台仅允许内网IP访问,禁用公网直接连接。
    • 防御缺口
      • 未禁用旧版本兼容接口(如遗留的未打补丁API)。
      • 未监控终端代理的异常行为(如异常权限提升或进程注入)。

    验证步骤

    1. 版本确认
      # 检查控制台版本(需登录管理界面或查看进程版本)  tasklist | findstr "ApexOneService.exe"
    2. 漏洞复现条件测试
      • 通过Burp Suite拦截管理控制台API请求,尝试注入目录遍历参数(如file=../../test.txt)。
      • 模拟低权限用户执行预设命令,观察是否能提权(需依赖具体漏洞细节)。
    3. 网络暴露检测
      nmap -p 443,8443 <管理控制台IP> -oN apex_console_scan.txt
    4. 日志审计
      • 检查控制台日志是否有异常文件操作或未授权访问尝试。

    修复建议

    1. 紧急措施
      • 强制升级:立即更新至公告中提及的修复版本(需从趋势科技获取对应版本号)。
      • 网络隔离:将管理控制台迁移到内网,通过VPN或IP白名单限制访问。
    2. 长期防御
      • 最小权限原则:终端代理程序以非管理员账户运行,禁用不必要的xi统接口。
      • 监控与响应:部署EDR监控异常进程行为(如异常路径写入或权限提升)。
    3. macOS补丁确认
      • 确保ActiveUpdate/SaaS已启用且版本≥2025年中修复版本(通过system_profiler SPSoftwareDataType验证)。

    信息缺失与补充建议

    若缺乏漏洞具体PoC或补丁版本号:

    1. 最小验证路径
      • 联xi厂商获取CVE-2025-71210/11的受影响版本区间。
      • 使用strings工具分析ApexOneService.exe中是否存在未修复的符号或API路径。
    2. 防御替代方案
      • 在控制台前端部署WAF,拦截包含../的请求参数。
      • 阻断终端到管理控制台的非必要端口连接(如通过防火墙策略)。