JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は6月19日、「JVNVU#99027428: 複数のトレンドマイクロ製品における複数の脆弱性」において、トレンドマイクロの複数製品に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって権限昇格やサービス運用妨害(DoS: Denial of Service)を実行される可能性がある。

JVNVU#99027428: 複数のトレンドマイクロ製品における複数の脆弱性

○脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

アラート/アドバイザリー:Trend Micro Apex One および Apex One SaaS で確認された複数の脆弱性について(2024年5月)

アラート/アドバイザリー:リンク解釈の問題によるローカル権限昇格の脆弱性(2024年5月):Deep Security Agent(Windows版)

アラート/アドバイザリー:クロスサイトスクリプティングによる権限昇格の脆弱性について:InterScan Web Security Virtual Appliance 6.5 / InterScan Web Security Suite 6.5

脆弱性の情報(CVE)は次のとおり。

CVE-2024-36302、CVE-2024-36303 - コマンド発信元の検証が不十分な脆弱性。低い権限を持つ攻撃者は、この脆弱性によりシステムコンテキストで任意のコードを実行する可能性がある

CVE-2024-36304 - TOCTOU(Time-of-Check Time-Of-Use)の脆弱性

CVE-2024-36305 - Apex One NT RealTime ScanサービスにWindowsのジャンクションを介して任意のファイルを作成できる脆弱性

CVE-2024-36306 - Damage Cleanup Engineにシンボリックリンクを介してファイルを削除できる脆弱性。攻撃者はサービス運用妨害(DoS)の状態を作り出せる

CVE-2024-36307 - ファイルの内容を漏洩する脆弱性

CVE-2024-37289 - 不適切なアクセス制御の脆弱性。低い権限を持つ攻撃者は、この脆弱性によりシステムコンテキストで任意のコードを実行する可能性がある

CVE-2024-36358 - Trend Micro Deep Securityエージェントにシンボリックリンクを介してファイルを削除できる脆弱性。低い権限を持つ攻撃者は、この脆弱性によりシステムコンテキストで任意のコードを実行する可能性がある

CVE-2024-36359 - クロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性

○脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

Apex Oneのすべてのバージョン

Apex One SaaSのすべてのバージョン

Deep Security Agent(Windows版) 20.0

InterScan Web Security Virtual Appliance 6.5 SP3 Patch2 Build: 3366より前のバージョン

InterScan Web Security Suite 6.5 Patch4 Build: 3152より前のバージョン

○脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

Apex One 2019 SP1 Critical Patch Build: 12980.00

Apex One SaaS 2024年5月メンテナンス(202405) - Security Agent バージョン14.0.13139

Deep Security Agent(Windows版) 20.0.1-9400(20 LTS Update 2024-05-16)

InterScan Web Security Virtual Appliance 6.5 SP3 Patch2 Critical Patch Build: 3366

InterScan Web Security Suite 6.5 Patch4 Critical Patch Build: 3152

修正された脆弱性のうち、深刻度の最も高いものは重要(Important)と評価されており注意が必要。JPCERT/CCは開発者の提供するアドバイザリーを確認してアップデートを適用することを推奨している。