„Trend Micro“ išleido saugos atnaujinimus, kad būtų galima atkreipti dėmesį į kelis kritinio savijauto nuotolinio kodo vykdymą ir autentifikavimo apėjimo pažeidžiamumus, turinčius įtakos jo „Apex Central“ ir „Endpoint“ šifravimo (TMEE) policiseratoriaus produktams.
Saugumo pardavėjas pabrėžia, kad nė vienam iš jų nematė jokių aktyvaus gamtos išnaudojimo įrodymų. Tačiau norint pašalinti riziką, rekomenduojama nedelsiant pritaikyti saugos atnaujinimus.
„Trend Micro Endpoint“ šifravimo „Policyserver“ yra centrinis „Tend Micro Endpoint“ šifravimo (TMEE) valdymo serveris, suteikiantis visą disko šifravimą ir nuimamą laikmenų šifravimą „Windows“ pagrindu sukurtoms galiniams taškams.
Produktas naudojamas įmonių aplinkoje reguliuojamose pramonės šakose, kuriose kritiškai svarbu atitikti duomenų apsaugos standartus.
Atlikus naujausią atnaujinimą, „Trend Micro“ atkreipė dėmesį į šiuos didelius ir kritinius trūkumus:
- CVE-2025-49212 – Išankstinio autentifikavimo nuotolinio kodo vykdymo yda, kurią sukelia nesaugus deserializavimas „PolicyValueTableSerializationBinder“ klasėje. Nuotoliniai užpuolikai gali jį išnaudoti, kad vykdytų savavališką kodą kaip sistemą, nereikalaudami prisijungimo
- CVE-2025-49213 – Išankstinio autentifikavimo nuotolinio kodo vykdymo pažeidžiamumas „PolicyServerWindowsService“ klasėje, atsirandantis dėl nepatikimų duomenų. Užpuolikai gali paleisti savavališką kodą kaip sistemą, neturinčią autentifikavimo
- CVE-2025-49216 – Autentifikavimo apėjimas DBAppdomain paslaugos trūkumas dėl sugadinto automatinio įgyvendinimo. Nuotoliniai užpuolikai gali visiškai apeiti prisijungimą ir atlikti administratoriaus lygio veiksmus be kredencialų
- CVE-2025-49217 – Išankstinio autentifikavimo RCE pažeidžiamumas „ValidateToken“ metodu, kurį sukelia nesaugus deserializacija. Nors tai šiek tiek sunkiau išnaudojama, jis vis tiek leidžia neautentifikuotiems užpuolikams paleisti kodą kaip sistemą
Reikėtų pažymėti, kad nors „Tend Micro“ saugumo biuletenis, skirtas baigti taškų šifravimo politiką, visus keturis aukščiau pateiktus pažeidžiamumus išvardija kaip kritišką, ZDI patarimas, kai CVE-2025-49217 yra aukšto savijauto pažeidžiamumas.
Papildomos problemos, susijusios su naujausia „Endpoint“ šifravimo „Policyserver“ versija.
Visi pažeidžiamumai buvo nagrinėjami 6.0.0.0.4013 versijoje (1 pataisos atnaujinimas 6). Trūkumai daro įtaką visoms versijoms iki naujausių, ir jų nėra jokių švelnių ar sprendimų.
Antrasis problemų, susijusių su tendencija, rinkinys „Micro“ atkreipė dėmesį į „Apex Central“ – centralizuotą saugumo valdymo konsolę, naudojamą organizacijai stebėti, konfigūruoti ir valdyti įvairius tendencijų mikro produktus ir saugumo agentus.
Abi problemos yra kritinis-savijauta, nuotolinio kodo vykdymo trūkumai prieš autentifikavimą:
- CVE-2025-49219 -„GetReportDetailView“ viršūnės centrinio metodo, kurį sukelia nesaugus deserializacijos sukeltas „getReportDetailView“ metodas, išankstinis autoritavimas. Išnaudoję tai, neleistini užpuolikai gali vykdyti kodą tinklo paslaugų kontekste. (CVSS 9.8)
- CVE-2025-49220 -„Convertfromjson“ metodo „Apex Central“ išankstinis Auth RCE. Netinkamas įvesties patvirtinimas deserializacijos metu leidžia užpuolikams nuotoliniu būdu vykdyti savavališką kodą be autentifikavimo. (CVSS 9.8)
Problemos buvo išspręstos B7007 pleistre, skirtoje „Apex Central 2019“ (prielaida), tuo tarpu jie automatiškai taikomi „Apex Central“ kaip paslaugos pagrindinėje programoje.
Pataisymas reiškė sudėtingus scenarijus, ilgas valandas ir nesibaigiančius gaisro grąžtus. Nebe.
Šiame naujame vadove „Tines“ suskaido, kaip modernūs IT orgai yra lygūs automatizavimui. Greičiau pataisykite, sumažinkite pridėtines išlaidas ir sutelkite dėmesį į strateginį darbą – nereikia jokių sudėtingų scenarijų.
