JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は12月23日、「JVNVU#96679793: Trend Micro Apex OneおよびTrend Micro Apex One SaaSにおける複数の脆弱性」において、トレンドマイクロが提供しているエンドポイント・セキュリティソリューションの「Trend Micro Apex One」および「Trend Micro Apex One SaaS」に複数の脆弱性が報告されていると伝えた。これらの脆弱性を悪用されると、攻撃者によって影響を受けたシステムで権限の昇格やファイルの削除を行われるリスクがある。

該当する脆弱性に関する情報は、Trend Microによる次のセキュリティアドバイザリにまとめられている。

  • アラート/アドバイザリ:Trend Micro Apex One およびTrend Micro Apex One SaaSで確認した複数の脆弱性について(2022年11月30日)

    アラート/アドバイザリ:Trend Micro Apex One およびTrend Micro Apex One SaaSで確認した複数の脆弱性について(2022年11月30日)

今回報告されている脆弱性は以下の2つ。CVSS v3の基本スコアは、CVE-2022-45797が7.5、CVE-2022-45798が7.8で、Trend Microによる深刻度の評価はそれぞれ“中”、“高”となっている。

  • CVE-2022-45797: ダメージクリーンアップ機能における権限昇格を伴うファイル削除の脆弱性
  • CVE-2022-45798: ダメージクリーンアップ機能におけるリンク解釈の脆弱性による権限昇格の脆弱性

次のプロダクトがこれらの脆弱性の影響を受けるとされている。

  • Trend Micro Apex One 2019
  • Trend Micro Apex One SaaS

Apex One 2019は、2022年11月30日にリリースされた「Service Pack 1 Critical Patch ビルド11136」を適用することで脆弱性の影響を回避できる。Apex One SaaSは、11月のメンテナンスによって適用された「セキュリティエージェント build 14.0.11840」で対応が完了済みだという。

トレンドマイクロは、該当製品を利用するユーザーに対し、できるだけ早く最新のビルドにアップデートすることを推奨している。もし何らかの理由でアップデートできない場合には、該当製品へのアクセスを信頼されたネットワークからのみに限定することでこの脆弱性の影響を軽減することができるとのことだ。