Trend Micro ostrzega przed krytycznymi lukami RCE w Apex One: CVE-2025-71210 i CVE-2025-71211 - Security Bez Tabu

Trend Micro ostrzega przed krytycznymi lukami RCE w Apex One: CVE-2025-71210 i CVE-2025-71211

Wprowadzenie do problemu / definicja luki

Trend Micro (w segmencie enterprise komunikujące się też marką TrendAI) opublikowało ostrzeżenie o dwóch krytycznych podatnościach typu Remote Code Execution (RCE) w konsoli zarządzającej Trend Micro Apex One dla Windows. Luki mają charakter directory/path traversal (CWE-22) i mogą umożliwić atakującemu wgranie złośliwego kodu oraz wykonanie poleceń na serwerze zarządzającym — czyli w newralgicznym miejscu całego systemu ochrony endpointów.

W skrócie

  • Podatności: CVE-2025-71210 i CVE-2025-71211 (obie CVSS 9.8, krytyczne).
  • Komponent: Apex One Management Console (Windows).
  • Warunek istotny operacyjnie: Trend Micro podkreśla, że atakujący musi mieć dostęp do konsoli zarządzającej — dlatego szczególnie ryzykowne są środowiska, w których IP/GUI konsoli jest wystawione do Internetu lub szerokich sieci.
  • Naprawa: dla on-prem Apex One 2019 wydano Critical Patch (CP) Build 14136; środowiska SaaS zostały już zmitigowane.

Kontekst / historia / powiązania

Apex One (oraz ekosystem produktów „Apex”) jest regularnie celem badaczy, bo konsola zarządzająca stanowi „punkt centralny” do dystrybucji polityk i agentów. W najnowszym biuletynie Trend Micro zaznacza też, że CP zawiera dodatkowe usprawnienia ochrony związane z wcześniejszymi krytycznymi problemami (m.in. CVE-2025-54948 / CVE-2025-54987), co jest sygnałem, że producent wzmacnia obszary historycznie narażone na nadużycia w warstwie zarządzania.

Warto odnotować, że bieżące luki zostały zgłoszone w ramach odpowiedzialnego ujawniania przez Zero Day Initiative (ZDI), a identyfikatory ZDI-CAN-28001 i ZDI-CAN-28002 pojawiają się w dokumentacji i harmonogramie advisory ZDI.

Analiza techniczna / szczegóły luki

Co oznacza „directory/path traversal” w konsoli zarządzającej?

W uproszczeniu: błąd typu traversal pojawia się, gdy aplikacja nie ogranicza poprawnie ścieżek plików do „bezpiecznego” katalogu bazowego. Atakujący może wtedy manipulować parametrami (np. sekwencjami ../) tak, aby:

  • zapisać plik poza dozwolonym katalogiem (np. w lokalizacji wykonywalnej),
  • albo odwołać się do zasobów, do których nie powinien mieć dostępu.

W tym przypadku Trend Micro opisuje scenariusz, w którym podatność może pozwolić zdalnemu atakującemu na przesłanie złośliwego kodu i wykonanie komend w środowisku konsoli.

Dwie podatności, podobny mechanizm – inny „punkt zaczepienia”

  • CVE-2025-71210: Console Directory Traversal RCE (ZDI-CAN-28001).
  • CVE-2025-71211: analogiczna klasa błędu, ale dotycząca innego pliku wykonywalnego w obrębie konsoli (ZDI-CAN-28002).

Ważny warunek eksploatacji (nie ignoruj go)

Trend Micro wprost wskazuje, że do skutecznego ataku wymagany jest dostęp do Apex One Management Console; jeśli konsola ma publicznie dostępny adres IP, producent sugeruje stosowanie ograniczeń źródeł (source restrictions) jako czynnika mitygującego ryzyko.

To nie czyni luk „niegroźnymi” — w praktyce dostęp do konsoli bywa osiągalny przez:

  • przejęte konto administratora (phishing/credential stuffing),
  • tunelowanie z sieci wewnętrznej po wcześniejszym foothold,
  • błędne wystawienie panelu w Internecie,
  • nadużycia w segmentacji sieci.

Praktyczne konsekwencje / ryzyko

Jeśli atakujący uzyska RCE na serwerze zarządzającym Apex One, konsekwencje eskalują szybciej niż w typowym incydencie endpointowym:

  • przejęcie dystrybucji polityk (wyłączenie ochrony, wyjątki, manipulacja konfiguracją),
  • potencjalne rozsyłanie payloadów do hostów zarządzanych,
  • pivot do innych systemów (konsola często ma szerokie uprawnienia i łączność),
  • ryzyko „quiet takeover”: napastnik może działać pod przykrywką legalnych mechanizmów zarządzania.

Choć publiczne doniesienia koncentrują się na samej naprawie, sens operacyjny jest prosty: konsola bezpieczeństwa po przejęciu staje się narzędziem ataku.

Rekomendacje operacyjne / co zrobić teraz

  1. Zaktualizuj on-prem Apex One 2019 do CP Build 14136 (priorytet P1).
  2. Jeśli używasz wariantu SaaS (Apex One as a Service / Trend Vision One Endpoint – Standard Endpoint Protection), sprawdź status, ale Trend Micro wskazuje, że SaaS zostało już zmitigowane.
  3. Zablokuj ekspozycję konsoli:
    • usuń publiczny dostęp do panelu,
    • wymuś dostęp wyłącznie przez VPN/ZTNA,
    • zastosuj allowlistę źródeł (source restrictions), o której wspomina producent.
  4. Wymuś twarde uwierzytelnianie do konsoli:
    • MFA,
    • rotacja haseł kont uprzywilejowanych,
    • dedykowane konta admin (bez poczty/WWW).
  5. Monitoring i detekcja:
    • przegląd logów serwera zarządzającego i zdarzeń aplikacyjnych,
    • alerty na nietypowe uploady/operacje plikowe w katalogach aplikacji,
    • kontrola nowych procesów uruchamianych przez usługi konsoli.
  6. Higiena uprawnień:
    • ogranicz prawa konta/serwisu, jeśli architektura na to pozwala,
    • odseparuj serwer konsoli w sieci (segment + reguły egress).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Nowe luki (CVE-2025-71210/71211) to CWE-22 (traversal) w konsoli i mają CVSS 9.8, ale Trend Micro podkreśla wymóg dostępu do panelu.
  • W 2025 r. głośne były podatności CWE-78 (command injection) w on-prem konsoli (np. CVE-2025-54948), które również dotykały warstwy zarządzającej — NVD opisuje je jako możliwość uploadu złośliwego kodu i wykonania komend.

Wspólny mianownik: konsola zarządzająca jako „high-value target”. Różnica: klasa błędu i detale warunków wejściowych, ale skutek operacyjny (przejęcie serwera zarządzającego) pozostaje podobnie groźny.

Podsumowanie / kluczowe wnioski

  • Dwie krytyczne podatności traversal w konsoli Apex One mogą prowadzić do RCE (CVE-2025-71210 i CVE-2025-71211, CVSS 9.8).
  • Największe ryzyko mają środowiska, gdzie konsola jest dostępna z zewnątrz lub gdzie łatwo o kradzież poświadczeń do panelu.
  • Dla on-prem Apex One 2019 kluczowa jest aktualizacja do CP Build 14136; SaaS jest już po stronie dostawcy zmitigowany.

Źródła / bibliografia

  1. Trend Micro (TrendAI) – Security Bulletin: Apex One and Apex One (Mac) – February 2026 (KA-0022458). (success.trendmicro.com)
  2. BleepingComputer – Trend Micro warns of critical Apex One code execution flaws (26 lutego 2026). (BleepingComputer)
  3. SecurityWeek – Trend Micro Patches Critical Apex One Vulnerabilities. (SecurityWeek)
  4. Zero Day Initiative – wpisy dotyczące ZDI-CAN-28001 / ZDI-CAN-28002 (harmonogram/advisories). (zerodayinitiative.com)
  5. NVD (NIST) – kontekst wcześniejszych luk w Apex One (np. CVE-2025-54948). (nvd.nist.gov)