Компания Trend Micro официально подтвердила, что две критические уязвимости в её локальном продукте безопасности Apex One Management Console активно эксплуатируются злоумышленниками. Соответствующее публичное уведомление для клиентов было выпущено во вторник, одновременно с предоставлением временного инструмента для устранения угрозы.
Обнаруженные бреши в безопасности зарегистрированы под идентификаторами CVE-2025-54948 и CVE-2025-54987. Обеим уязвимостям присвоен критический рейтинг 9.4 по шкале CVSS. Эти недостатки позволяют удалённому злоумышленнику выполнять произвольный код на целевых системах.
Тип уязвимостей классифицируется как внедрение команд в консоль управления и удалённое выполнение кода. Это даёт возможность предварительно аутентифицированному удалённому атакующему загружать вредоносный код и выполнять команды на системах, где развёрнут уязвимый продукт.
Хотя обе уязвимости по своей сути схожи, CVE-2025-54987 имеет специфику, так как нацелена на другую архитектуру центрального процессора. Это расширяет потенциальную поверхность атаки и затрагивает более широкий спектр систем.
Trend Micro заявила, что специалистами компании был «зафиксирован как минимум один случай попытки активной эксплуатации одной из этих уязвимостей в реальных условиях». На данный момент публичные детали о масштабах атак или используемых методах не разглашаются.
Важным условием для эксплуатации является то, что злоумышленник, как правило, уже должен иметь доступ к уязвимой машине, будь то физический или удалённый. Это означает, что атаки, скорее всего, являются частью более сложной многоэтапной кибероперации.
Клиенты, использующие облачную версию продукта, «Trend Micro Apex One as a Service», находятся в безопасности. Необходимые меры по защите инфраструктуры были автоматически развёрнуты ещё 31 июля 2025 года.
Для пользователей локальных версий Trend Micro Apex One был выпущен временный инструмент для исправления. Он обеспечивает полную защиту от известных эксплойтов. Полноценный официальный патч, устраняющий уязвимости на постоянной основе, находится в разработке, его выпуск ожидается в середине августа 2025 года.
Применение временного инструмента сопряжено с одним ограничением: он отключает функцию «Remote Install Agent» (Удалённая установка агента), используемую администраторами. Это необходимо для блокировки вектора атаки до выхода постоянного исправления.
Несмотря на это ограничение, другие методы установки агента безопасности остаются полностью функциональными. Администраторы по-прежнему могут использовать развёртывание через UNC-путь или с помощью пакета установки агента.
В обнаружении и ответственном раскрытии информации об уязвимостях приняли участие как внутренние, так и внешние эксперты. Компания выразила благодарность команде реагирования на инциденты Trend Micro (IR) и специалисту Джеки Се (Jacky Hsieh) из компании CoreCloud Tech.
Всем клиентам, использующим локальные версии Apex One, настоятельно рекомендуется незамедлительно применить выпущенный инструмент исправления. Также необходимо провести аудит удалённого доступа к критически важным системам и убедиться в актуальности политик безопасности и защитных мер периметра сети.
Изображение носит иллюстративный характер
Обнаруженные бреши в безопасности зарегистрированы под идентификаторами CVE-2025-54948 и CVE-2025-54987. Обеим уязвимостям присвоен критический рейтинг 9.4 по шкале CVSS. Эти недостатки позволяют удалённому злоумышленнику выполнять произвольный код на целевых системах.
Тип уязвимостей классифицируется как внедрение команд в консоль управления и удалённое выполнение кода. Это даёт возможность предварительно аутентифицированному удалённому атакующему загружать вредоносный код и выполнять команды на системах, где развёрнут уязвимый продукт.
Хотя обе уязвимости по своей сути схожи, CVE-2025-54987 имеет специфику, так как нацелена на другую архитектуру центрального процессора. Это расширяет потенциальную поверхность атаки и затрагивает более широкий спектр систем.
Trend Micro заявила, что специалистами компании был «зафиксирован как минимум один случай попытки активной эксплуатации одной из этих уязвимостей в реальных условиях». На данный момент публичные детали о масштабах атак или используемых методах не разглашаются.
Важным условием для эксплуатации является то, что злоумышленник, как правило, уже должен иметь доступ к уязвимой машине, будь то физический или удалённый. Это означает, что атаки, скорее всего, являются частью более сложной многоэтапной кибероперации.
Клиенты, использующие облачную версию продукта, «Trend Micro Apex One as a Service», находятся в безопасности. Необходимые меры по защите инфраструктуры были автоматически развёрнуты ещё 31 июля 2025 года.
Для пользователей локальных версий Trend Micro Apex One был выпущен временный инструмент для исправления. Он обеспечивает полную защиту от известных эксплойтов. Полноценный официальный патч, устраняющий уязвимости на постоянной основе, находится в разработке, его выпуск ожидается в середине августа 2025 года.
Применение временного инструмента сопряжено с одним ограничением: он отключает функцию «Remote Install Agent» (Удалённая установка агента), используемую администраторами. Это необходимо для блокировки вектора атаки до выхода постоянного исправления.
Несмотря на это ограничение, другие методы установки агента безопасности остаются полностью функциональными. Администраторы по-прежнему могут использовать развёртывание через UNC-путь или с помощью пакета установки агента.
В обнаружении и ответственном раскрытии информации об уязвимостях приняли участие как внутренние, так и внешние эксперты. Компания выразила благодарность команде реагирования на инциденты Trend Micro (IR) и специалисту Джеки Се (Jacky Hsieh) из компании CoreCloud Tech.
Всем клиентам, использующим локальные версии Apex One, настоятельно рекомендуется незамедлительно применить выпущенный инструмент исправления. Также необходимо провести аудит удалённого доступа к критически важным системам и убедиться в актуальности политик безопасности и защитных мер периметра сети.
