E a Trend Micro corrigiu uma vulnerabilidade zero-day de RCE que afeta sua solução de proteção de endpoint Apex.
Apex One é uma solução de segurança de endpoint voltada para empresas de todos os tamanhos, e o pacote ‘Worry-Free Business Security’ foi projetado para pequenas e médias empresas.
Agora, a Trend Micro corrigiu uma vulnerabilidade zero-day de execução remota de código (RCE)na solução de proteção de endpoint Apex One da Trend Micro que foi ativamente explorada em ataques.
Trend Micro corrigiu uma vulnerabilidade zero-day de RCE
A falha de execução de código arbitrário é rastreada como CVE-2023-41179 e recebeu uma classificação de gravidade de 9,1 de acordo com CVSS v3, categorizando-a como “crítica”.
A falha existe em um módulo desinstalador de terceiros fornecido com o software de segurança.
O boletim de segurança diz que:
“A Trend Micro observou pelo menos uma tentativa ativa de ataques potenciais contra esta vulnerabilidade. Os clientes são fortemente encorajados a atualizar para as versões mais recentes o mais rápido possível.”
A falha afeta os seguintes produtos:
- Trend Micro Apex One 2019
- Trend Micro Apex One SaaS 2019
- Worry-Free Business Security (WFBS) 10.0 SP1 (vendido como Virus Buster Business Security (Biz) no Japão)
- Worry-Free Business Security Services (WFBSS) 10.0 SP1 (vendido como Virus Buster Business Security Services (VBBSS) no Japão)
As correções foram disponibilizadas nas seguintes versões:
- Apex One 2019 Service Pack 1 – Patch 1 (Build 12380)
- Apex One SaaS 14.0.12637
- WFBS Patch 2495
- WFBSS July 31 update
Um fator atenuante é que, para explorar o CVE-2023-41179, o invasor deve ter roubado anteriormente as credenciais do console de gerenciamento do produto e usado-as para fazer login.
“A exploração desse tipo de vulnerabilidade geralmente exige que um invasor tenha acesso (físico ou remoto) a uma máquina vulnerável”, explica a Trend Micro.
O CERT japonês também emitiu um alerta sobre a exploração ativa da falha, instando os usuários do software afetado a atualizarem para uma versão segura o mais rápido possível.
“Se a vulnerabilidade for explorada, um invasor que conseguir fazer login no console de administração do produto poderá executar código arbitrário com privilégio de sistema no PC onde o agente de segurança está instalado”, explica JPCERT.
Uma solução alternativa eficaz é limitar o acesso ao console de administração do produto a redes confiáveis, bloqueando atores desonestos que tentam acessar o endpoint de locais externos e arbitrários.
No entanto, em última análise, os administradores precisam instalar as atualizações de segurança para evitar que os agentes de ameaças que já violaram uma rede utilizem a falha para se espalharem lateralmente para outros dispositivos.