トレンドマイクロ製品に複数の脆弱性、確認と更新を
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は2月21日、トレンドマイクロの複数製品に複数の脆弱性が存在するとして、注意を喚起した。
脆弱性に関する情報は次のページにまとまっている。
JVNVU#96033712: Trend Micro Apex Centralにおける複数の脆弱性
JVNVU#93534773: 複数のトレンドマイクロ製品における複数の脆弱性
アラート/アドバイザリー:Trend Micro Apex Central で確認された複数の脆弱性について(2024年2月)
アラート/アドバイザリー:Trend Micro Apex OneおよびTrend Micro Apex One SaaS で確認された複数の脆弱性について(2024年1月)
アラート/アドバイザリー:Deep Security Agent(Windows版)におけるローカル権限昇格の脆弱性(2024年1月)
JVNVU#96033712: Trend Micro Apex Centralにおける複数の脆弱性
○脆弱性に関する情報
修正された脆弱性(CVE)の情報は次のとおり。
CVE-2023-52324 - Trend Micro Apex Centralにおいて、管理コンソールにアクセスできる攻撃者が無制限にファイルをアップロードできる脆弱性
CVE-2023-52325 - ローカルファイルインクルードの脆弱性。Trend Micro Apex Centralにおいて、管理コンソールにアクセスできる攻撃者がリモートからコードを実行できる可能性がある
CVE-2023-52326、CVE-2023-52327 、CVE-2023-52328 、CVE-2023-52329 - ダッシュボードウィジェットにクロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性。Trend Micro Apex Centralにおいて、管理コンソールにアクセスできる攻撃者がリモートからコードを実行できる可能性がある
CVE-2023-52330 - クロスサイトスクリプティング(XSS)の脆弱性。Trend Micro Apex Centralにおいて、ユーザー操作を介して権限を昇格される可能性がある
CVE-2023-52331 - サーバーサイドリクエストフォージェリー(SSRF: Server-Side Request Forgery)の脆弱性。Trend Micro Apex Centralにおいて、コード実行の権限を持つ攻撃者が一部のローカルディレクトリーにアクセスできる可能性がある
CVE-2023-52090 - Trend Micro Apex OneおよびApex One SaaSのセキュリティエージェントの検索エンジンにリンク解釈に関する脆弱性
CVE-2023-52091 - Trend Micro Apex OneおよびApex One SaaSのセキュリティエージェントのスパイウェア検索エンジンにリンク解釈に関する脆弱性
CVE-2023-52092 - Trend Micro Apex OneおよびApex One SaaSのセキュリティエージェントにリンク解釈に関する脆弱性
CVE-2023-52093 - Trend Micro Apex OneおよびApex One SaaSのセキュリティエージェントに危険な機能を公開する脆弱性
CVE-2023-52094 - Trend Micro Apex OneおよびApex One SaaSのセキュリティエージェントのアップデート機能にリンク解釈に関する脆弱性
CVE-2023-52337 - Windows版のTrend Micro Deep Security Agentに不適切なアクセス制御の脆弱性
CVE-2023-52338 - Windows版のTrend Micro Deep Security Agentにリンク追跡の脆弱性
○脆弱性の影響を受ける製品
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
Apex Centralのすべてのバージョン
Apex Oneのすべてのバージョン
Apex One SaaSのすべてのバージョン
Deep Security Agent(Windows版) バージョン20.0
○脆弱性が修正された製品
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
Apex Central Patch8 Build 6660およびこれ以降のバージョン
Apex One 2019 SP1 CP b12534およびこれ以降のバージョン
Apex One SaaS エージェントバージョン: 14.0.12849 - 2023年11月のメンテナンス(202311)にて修正
Deep Security Agent(Windows版) バージョン20.0.0-8438 (20 LTS Update 2023-12-12)およびこれ以降のバージョン
なお、「Deep Security Agent(Windows版) バージョン20.0.0-8438」には他の不具合(参考:「20.0.0.8438にて「Smart Protection Serverとの接続失敗」が発生する問題の対処」)が確認されているため、より新しいバージョンの「Deep Security Agent(Windows版) バージョン20.0.1-690 (20 LTS Update 2024-01-17)」へ更新することが推奨されている。
○軽減策
対象の脆弱性のうち、最も高い深刻度は緊急(Critical)と評価されており注意が必要。該当する製品を運用している管理者は、速やかにアップデートすることが推奨されている。また、トレンドマイクロはこれら脆弱性の軽減策として、攻撃者が管理コンソールにアクセスできないように信頼されたネットワーク以外からのアクセスを制限する対策を提示している。
脆弱性に関する情報は次のページにまとまっている。
JVNVU#96033712: Trend Micro Apex Centralにおける複数の脆弱性
アラート/アドバイザリー:Trend Micro Apex Central で確認された複数の脆弱性について(2024年2月)
アラート/アドバイザリー:Trend Micro Apex OneおよびTrend Micro Apex One SaaS で確認された複数の脆弱性について(2024年1月)
アラート/アドバイザリー:Deep Security Agent(Windows版)におけるローカル権限昇格の脆弱性(2024年1月)
JVNVU#96033712: Trend Micro Apex Centralにおける複数の脆弱性
○脆弱性に関する情報
修正された脆弱性(CVE)の情報は次のとおり。
CVE-2023-52324 - Trend Micro Apex Centralにおいて、管理コンソールにアクセスできる攻撃者が無制限にファイルをアップロードできる脆弱性
CVE-2023-52325 - ローカルファイルインクルードの脆弱性。Trend Micro Apex Centralにおいて、管理コンソールにアクセスできる攻撃者がリモートからコードを実行できる可能性がある
CVE-2023-52326、CVE-2023-52327 、CVE-2023-52328 、CVE-2023-52329 - ダッシュボードウィジェットにクロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性。Trend Micro Apex Centralにおいて、管理コンソールにアクセスできる攻撃者がリモートからコードを実行できる可能性がある
CVE-2023-52330 - クロスサイトスクリプティング(XSS)の脆弱性。Trend Micro Apex Centralにおいて、ユーザー操作を介して権限を昇格される可能性がある
CVE-2023-52331 - サーバーサイドリクエストフォージェリー(SSRF: Server-Side Request Forgery)の脆弱性。Trend Micro Apex Centralにおいて、コード実行の権限を持つ攻撃者が一部のローカルディレクトリーにアクセスできる可能性がある
CVE-2023-52090 - Trend Micro Apex OneおよびApex One SaaSのセキュリティエージェントの検索エンジンにリンク解釈に関する脆弱性
CVE-2023-52091 - Trend Micro Apex OneおよびApex One SaaSのセキュリティエージェントのスパイウェア検索エンジンにリンク解釈に関する脆弱性
CVE-2023-52092 - Trend Micro Apex OneおよびApex One SaaSのセキュリティエージェントにリンク解釈に関する脆弱性
CVE-2023-52093 - Trend Micro Apex OneおよびApex One SaaSのセキュリティエージェントに危険な機能を公開する脆弱性
CVE-2023-52094 - Trend Micro Apex OneおよびApex One SaaSのセキュリティエージェントのアップデート機能にリンク解釈に関する脆弱性
CVE-2023-52337 - Windows版のTrend Micro Deep Security Agentに不適切なアクセス制御の脆弱性
CVE-2023-52338 - Windows版のTrend Micro Deep Security Agentにリンク追跡の脆弱性
○脆弱性の影響を受ける製品
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
Apex Centralのすべてのバージョン
Apex Oneのすべてのバージョン
Apex One SaaSのすべてのバージョン
Deep Security Agent(Windows版) バージョン20.0
○脆弱性が修正された製品
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
Apex Central Patch8 Build 6660およびこれ以降のバージョン
Apex One 2019 SP1 CP b12534およびこれ以降のバージョン
Apex One SaaS エージェントバージョン: 14.0.12849 - 2023年11月のメンテナンス(202311)にて修正
Deep Security Agent(Windows版) バージョン20.0.0-8438 (20 LTS Update 2023-12-12)およびこれ以降のバージョン
なお、「Deep Security Agent(Windows版) バージョン20.0.0-8438」には他の不具合(参考:「20.0.0.8438にて「Smart Protection Serverとの接続失敗」が発生する問題の対処」)が確認されているため、より新しいバージョンの「Deep Security Agent(Windows版) バージョン20.0.1-690 (20 LTS Update 2024-01-17)」へ更新することが推奨されている。
○軽減策
対象の脆弱性のうち、最も高い深刻度は緊急(Critical)と評価されており注意が必要。該当する製品を運用している管理者は、速やかにアップデートすることが推奨されている。また、トレンドマイクロはこれら脆弱性の軽減策として、攻撃者が管理コンソールにアクセスできないように信頼されたネットワーク以外からのアクセスを制限する対策を提示している。