Cette semaine, Trend Micro a publié des correctifs pour deux défaillances critiques sur sa plate-forme de protection d'extrémité Apex One qui, si elle n'est pas corrigée, permettent à un attaquant d'exécuter le code à distance sur les équipes vulnérables de Windows. Ce sont des vulnérabilités dans la console de gestion qui profitent d'un chemin de route faible (chemin traversant) et, dans certaines conditions, ouvrent la porte à l'exécution de code à distance.
Apex L'un est la suite de sécurité de nombreuses organisations utilisent pour détecter et répondre aux menaces telles que les logiciels malveillants, les logiciels espions et les outils malveillants dans les stations et les serveurs. Lorsque la console de gestion a une défaillance dans la gestion de la route de fichier, un attaquant peut forcer la lecture ou l'écriture en dehors des répertoires prévus et, en combinaison avec d'autres conditions, transformer ce manque de contrôle en une exécution à distance. Trend Micro décrit les deux défaillances de son notice technique, qui affectent différents exécutables de la console et ont été étiquetés CVE-2025-71210 et CVE-2025-71211. Plus d'informations techniques et de recommandations officielles sont disponibles dans la déclaration de l'entreprise: Trend Micro: conseils sur Apex One.
D'après la note de Trend Micro, l'exploitation réussie nécessite l'accès à la console de gestion. Dans la pratique, cela signifie que les cas dont la PI d'administration est accessible à partir d'Internet présentent un risque plus élevé, et donc la société suggère des mesures complémentaires telles que la restriction des sources qui peuvent se connecter à la console tout en appliquant le patch. Bien que la firme note qu'aucune détention de ces vulnérabilités à l'état sauvage n'a été observée à ce moment-là, son dossier récent montre que les échecs dans Apex Une composante administrative a été prise pour cible par des agresseurs à plusieurs reprises.
Pour résoudre ces défauts Trend Micro a mis à jour les versions SaaS d'Apex One et publié le Construction de lots critiques 14136 pour les installations gérées, qui corrige également deux vulnérabilités d'échelle de privilèges dans l'agent Windows et quatre problèmes supplémentaires dans l'agent MacOS. Si vous gérez des instances locales, il est important d'appliquer ce correctif; si vous utilisez le mode SaaS, vérifiez que votre environnement est déjà dans la dernière construction. L'avis officiel explique les étapes et les versions concernées : voir conseil de Trend Micro.
Le dossier des incidents passés montre qu'il n'est pas exagéré de prendre ces avertissements au sérieux. D'autres défaillances d'Apex One ont déjà été exploitées et plusieurs entrées liées à la solution figurent dans le catalogue des vulnérabilités exploitées par des acteurs réels entretenus par la United States Infrastructure and Cybersecurity Agency (CISA). À l'heure actuelle, le CISA énumère dix vulnérabilités de Trend Micro Apex qui ont été identifiées comme exploitées dans des environnements réels; il aide à contextualiser la fréquence et l'impact de ce type de problème: CISA: Vulnérabilités exploitées (Trend Micro Apex).
Si vous gérez du matériel Apex One-Protected, il est approprié de prioriser plusieurs actions : vérifier immédiatement si la console de gestion est exposée à des réseaux externes, appliquer des restrictions d'accès IP ou VPN si elle n'est pas en vigueur, mettre à jour la dernière version recommandée par Trend Micro et examiner les enregistrements et la télémétrie pour détecter une activité inhabituelle autour de la console et des agents. La sécurité complémentaire au niveau du réseau, comme la segmentation et le principe du privilège inférieur dans les comptes de gestion, réduit la probabilité que cette vulnérabilité devienne une plus grande intrusion.
Pour mieux comprendre pourquoi un échec de voyage de route peut être si dangereux, il aide à revoir les ressources sur ce type d'attaque: le concept de base est que le logiciel fait confiance aux itinéraires de fichiers contrôlés par l'utilisateur et ne valide pas correctement les entrées qui vous permettent d'échapper au répertoire prévu. Les ressources de formation comme la documentation du PAOAO expliquent le problème et l'atténuation générale : OWASP: Chemin transversal.
Bref, bien qu'il n'y ait aucune preuve publique d'exploitation massive à cette occasion, les conditions décrites par Trend Micro font de la mise à jour une priorité. Mettre à jour la console et les agents, limiter l'accès administratif des réseaux peu fiables et surveiller l'activité de la plate-forme sont les mesures immédiates qui peuvent faire la différence entre un patch appliqué à temps et un écart avec des conséquences générales.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...