JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は9月13日、「JVN#36454862: Trend Micro Apex One および Trend Micro Apex One SaaS における複数の脆弱性」において、トレンドマイクロが提供しているウイルスバスターコーポレートエディションの後継となる新製品「Trend Micro Apex One」に複数の脆弱性が存在すると伝えた。

これら脆弱性を悪用されると、攻撃者によって任意のコードの実行や分散型サービス拒否攻撃(DDoS: Distributed Denial of Service attack)攻撃、情報窃取、管理者権限の取得、ログイン時の認証回避などといった被害を受ける危険性がある。

  • JVN#36454862: Trend Micro Apex One および Trend Micro Apex One SaaS における複数の脆弱性

    JVN#36454862: Trend Micro Apex One および Trend Micro Apex One SaaS における複数の脆弱性

脆弱性に関する情報は次のページにまとまっている。

  • アラート/アドバイザリ:Trend Micro Apex One 及びTrend Micro Apex One SaaSで確認した複数の脆弱性について(2022年9月)

    アラート/アドバイザリ:Trend Micro Apex One 及びTrend Micro Apex One SaaSで確認した複数の脆弱性について(2022年9月)

  • 【注意喚起】Trend Micro Apex One / Trend Micro Apex One SaaS の複数の脆弱性および脆弱性を悪用した攻撃(CVE-2022-40139)を確認したことによる修正プログラム適用のお願いについて(2022年9月)

    【注意喚起】Trend Micro Apex One / Trend Micro Apex One SaaS の複数の脆弱性および脆弱性を悪用した攻撃(CVE-2022-40139)を確認したことによる修正プログラム適用のお願いについて(2022年9月)

影響を受ける製品は次のとおり。

  • Trend Micro Apex One 2019
  • Trend Micro Apex One SaaS

想定される影響は各脆弱性によって異なるが、トレンドマイクロによれば、次のような影響を受ける可能性がある。

  • 当該製品の管理コンソールにログイン可能な第三者によって、任意のコードを実行される - CVE-2022-40139
  • 当該製品がインストールされたシステムにログイン可能な第三者によって、サービス運用妨害 (DoS) 攻撃を受ける - CVE-2022-40140
  • 遠隔の第三者が特定の通信を傍受・復号することによって、当該製品のサーバに関する情報の一部を窃取される - CVE-2022-40141
  • 当該製品がインストールされたシステムにログイン可能な第三者によって、管理者権限を取得される - CVE-2022-40142、CVE-2022-40143
  • 細工されたリクエストを送信されることによって、ログイン時の認証を回避される - CVE-2022-40144

CVE-2022-40139に関してはすでに悪用した攻撃が確認されているため注意が必要。

Trend Micro Apex One 2019は、パッチを適用することでこれらの脆弱性の影響を回避することができる。Trend Micro Apex One SaaSは2022年8月のメンテナンスで修正されている。JPCERTコーディネーションセンターは当該製品へのアクセスを信頼できるネットワークからのみに制限することで本脆弱性の影響を軽減することが可能だと説明している。