Trend Micro vừa tung ra các biện pháp giảm thiểu để giải quyết các lỗ hổng bảo mật nghiêm trọng trong các phiên bản tại chỗ của Apex One Management Console. Hãng cho biết những lỗ hổng này đã bị khai thác trong thực tế.

Các lỗ hổng này (CVE-2025-54948 và CVE-2025-54987), đều được đánh giá 9.4 trên hệ thống tính điểm CVSS, được mô tả là các lỗ hổng thực thi mã từ xa và chèn lệnh vào bảng điều khiển quản lý.

“Một lỗ hổng trong Trend Micro Apex One (tại chỗ) Management Console có thể cho phép kẻ tấn công từ xa chưa được xác thực tải lên mã độc hại và thực thi các lệnh trên các cài đặt bị ảnh hưởng,” công ty an ninh mạng cho biết trong một khuyến cáo hôm thứ Ba.

Mặc dù cả hai thiếu sót về cơ bản là giống nhau, CVE-2025-54987 nhắm mục tiêu đến một kiến trúc CPU khác. Nhóm Ứng phó Sự cố (IR) của Trend Micro và Jacky Hsieh tại CoreCloud Tech đã được ghi nhận vì đã báo cáo hai lỗi này.

Theo ZeroPath, CVE-2025-54948 bắt nguồn từ việc thiếu xác thực đầu vào đầy đủ trong phần phụ trợ của bảng điều khiển quản lý, do đó cho phép kẻ tấn công từ xa có quyền truy cập vào giao diện bảng điều khiển quản lý để tạo các payload chèn các lệnh hệ điều hành độc hại và dẫn đến thực thi mã từ xa.

Hiện tại, không có thông tin chi tiết nào về cách các vấn đề đang bị khai thác trong các cuộc tấn công thực tế. Trend Micro cho biết họ “đã quan sát thấy ít nhất một trường hợp cố gắng khai thác tích cực một trong những lỗ hổng này trong thực tế.”

Các biện pháp giảm thiểu cho Trend Micro Apex One as a Service và Trend Vision One Endpoint Security – Standard Endpoint Protection đã được triển khai kể từ ngày 31 tháng 7 năm 2025. Một giải pháp ngắn hạn cho các phiên bản tại chỗ có sẵn dưới dạng một công cụ sửa lỗi. Bản vá chính thức cho các lỗ hổng dự kiến sẽ được phát hành vào giữa tháng 8 năm 2025.

Tuy nhiên, Trend Micro chỉ ra rằng mặc dù công cụ này bảo vệ hoàn toàn chống lại các khai thác đã biết, nhưng nó sẽ vô hiệu hóa khả năng quản trị viên sử dụng chức năng Remote Install Agent để triển khai các tác nhân từ Trend Micro Apex One Management Console. Nó nhấn mạnh rằng các phương pháp cài đặt tác nhân khác, chẳng hạn như đường dẫn UNC hoặc gói tác nhân, không bị ảnh hưởng.

Công ty cho biết: “Việc khai thác các loại lỗ hổng này thường yêu cầu kẻ tấn công phải có quyền truy cập (vật lý hoặc từ xa) vào một máy bịязвимостью.” “Ngoài việc áp dụng kịp thời các bản vá và các giải pháp cập nhật, khách hàng cũng nên xem xét quyền truy cập từ xa vào các hệ thống quan trọng và đảm bảo các chính sách và bảo mật периметра được cập nhật.”

Một điều kiện tiên quyết khác để khai thác thành công là kẻ tấn công phải có quyền truy cập vào Trend Micro Apex One Management Console. Do đó, khách hàng có địa chỉ IP của bảng điều khiển của họ được hiển thị bên ngoài nên thực hiện các hạn chế nguồn nếu chưa được áp dụng.

Giải thích thuật ngữ:

• Lỗ hổng (Vulnerability): Điểm yếu trong hệ thống có thể bị lợi dụng để gây hại.
• Khai thác (Exploit): Hành động lợi dụng lỗ hổng để xâm nhập hoặc gây hại cho hệ thống.
• Payload: Phần mã độc hại được gửi kèm trong quá trình khai thác để thực hiện các hành động cụ thể.
• Thực thi mã từ xa (Remote Code Execution – RCE): Khả năng chạy mã tùy ý trên một máy tính từ xa mà không cần truy cập trực tiếp.
• Bảng điều khiển quản lý (Management Console): Giao diện cho phép quản trị viên giám sát và điều khiển hệ thống.
• Kiến trúc CPU: Thiết kế cơ bản của bộ vi xử lý, ảnh hưởng đến cách phần mềm hoạt động.
• Ứng phó sự cố (Incident Response – IR): Quá trình xử lý và khắc phục các sự cố an ninh mạng.
• UNC Path: Cách chỉ định vị trí của tệp hoặc thư mục trên mạng máy tính.
• Perimeter Security: An ninh периметра