トレンドマイクロのウイルスバスタークラウドおよびApex Oneに複数の脆弱性

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は3月1日、「JVNVU#96882769: トレンドマイクロ製ウイルスバスター クラウドにおける複数の脆弱性」および「JVNVU#96221942: Trend Micro Apex OneおよびTrend Micro Apex One SaaSにおける複数の脆弱性」において、トレンドマイクロが提供する複数の製品に脆弱性が報告されていると伝えた。

ウイルスバスタークラウドの脆弱性は、悪用されると任意のファイルの削除や情報漏洩、管理者権限を奪われるなどの被害を受ける危険性がある。Trend Micro Apex Oneの脆弱性では、ファイルの大量アップロードや任意コードの実行、管理者権限を奪われるなどの被害を受ける危険性がある。

• JVNVU#96882769: トレンドマイクロ製ウイルスバスター クラウドにおける複数の脆弱性

• JVNVU#96221942: Trend Micro Apex OneおよびTrend Micro Apex One SaaSにおける複数の脆弱性

脆弱性が報告されている製品およびバージョンは次のとおり。

• ウイルスバスター クラウド バージョン17.7
• ウイルスバスター クラウド バージョン17.0
• Trend Micro Apex One 2019
• Trend Micro Apex One SaaS

攻撃に悪用された場合に受ける影響は製品および脆弱性によって異なるため、詳細はJPCERT/CCのアナウンスまたはトレンドマイクロによる次のセキュリティアドバイザリを参照にしていただきたい。

• アラート/アドバイザリ：ウイルスバスター クラウドの脆弱性について(CVE-2022-30687) ｜トレンドマイクロサポート
• アラート/アドバイザリ：ウイルスバスター クラウドの脆弱性について(CVE-2022-34893) ｜トレンドマイクロサポート
• アラート/アドバイザリ：ウイルスバスター クラウドの脆弱性について(CVE-2022-35234/CVE-2022-37347/CVE-2022-37348) ｜トレンドマイクロサポート
• アラート/アドバイザリ：ウイルスバスター クラウドの脆弱性について(CVE-2022-48191) ｜トレンドマイクロサポート
• アラート/アドバイザリ：Trend Micro Apex One 及びTrend Micro Apex One SaaSで確認した複数の脆弱性について（2023年02月）

ウイルスバスタークラウドについては、製品の案内に従って最新版にアップデートすることで脆弱性の影響を回避することができる。アップデートは自動的に配信・適用されるとのこと。Trend Micro Apex One 2019については、次のパッチを適用することで脆弱性の影響を回避できる。

• Trend Micro Apex One 2019 Service Pack 1 リビルド版 (ビルド 11564)

なお、クラウドサービスであるTrend Micro Apex One SaaSについては2023年1月のメンテナンス（セキュリティエージェント build 14.0.11960）で修正済みとのことだ。