トレンドマイクロ社は、同社のEDRプラットフォーム「Apex One」に存在する2つのゼロデイ脆弱性を悪用して、同社のユーザを狙った攻撃が今年初めに発生していたと発表しました。
この攻撃の詳細は現在伏せられていますが、2つの問題に対するパッチは7月末に公開されています。
トレンドマイクロ社によると、この2つのゼロデイは悪意のあるコードをApex Oneプラットフォームにアップロードした後、アクセス権を昇格させてホストシステムを制御するというエクスプロイトチェーンで一緒に使用されたようです。
- CVE-2021-36741: 任意のファイルアップロードの脆弱性
- CVE-2021-36742: ローカル特権の昇格の脆弱性
トレンドマイクロでは、これらの脆弱性のうち、2つの脆弱性(サプライチェーン型)に対する悪用を、ごく限られた事例で確認しており、これらのお客様にはすでに連絡を取っています。
他のお客様におかれましては、早急に最新版へのアップデートをお願いいたします。
このパッチは、Apex Oneのオンプレミス版とクラウドホスティング(SaaS)版の両方に影響があるとのことです。
この2つの脆弱性は、2020年と2021年を通して悪用されたトレンドマイクロ製品の5番目と6番目のゼロデイにあたります。これまでのゼロデイは以下の通りです。
- CVE-2019-18187 – 2020年1月に公開され、中国のハッカーが三菱電機への侵入に使用した。
- CVE-2020-8467およびCVE-2020-8468 – 2020年3月に公開されました。
- CVE-2020-24557 – 2021年4月に開示されました。
トレンドマイクロはこれまで、ゼロデイがどのように悪用されたかについての詳細を共有・公開していなかったため、今回のものについてもさらなる詳細を共有しないだろうと考えられています。
脆弱性の詳細
CVE-2021-32464:不適切なパーミッションの割り当てによる特権の脆弱性
CVSSv3: 7.8
Trend Micro Apex One および Apex One as a Service には、不正な権限割り当てによる特権昇格の脆弱性があり、攻撃者が特定のスクリプトを実行する前に変更できる可能性があります。
注意:この脆弱性を悪用するためには、攻撃者は対象システム上で低位の特権コードを実行する能力を最初に取得する必要があります。
CVE-2021-32465: 不適切なパーミッション保存の認証バイパスの脆弱性
CVSSv3: 7.5
Trend Micro Apex One および Apex One as a Service に不適切な権限保存の脆弱性があり、リモートユーザーが攻撃を実行し、影響を受けるインストールで認証をバイパスできる可能性があります。
注意:この脆弱性を利用するためには、攻撃者はまず対象システム上で低権限コードを実行する能力を得る必要があります。
CVE-2021-36741: 任意のファイルアップロードの脆弱性
CVSSv3: 7.1
Trend Micro Apex One および Apex One as a Service には不適切な入力検証の脆弱性があり、影響を受けるインストール環境において、リモートのアタッカーに任意のファイルをアップロードされる可能性があります。
注意:この脆弱性を利用するためには、攻撃者はまず製品の管理コンソールにログオンする権限を取得する必要があります。
ITW Alert: トレンドマイクロは、CVE-2021-36742に関連して、この脆弱性を悪用する可能性のある試みを、少なくとも1つ、実際に観測しています。
CVE-2021-36742: ローカルな特権の昇格の脆弱性
CVSSv3: 7.8
Trend Micro Apex One および Apex One as a Service には、不適切な入力検証の脆弱性があり、ローカルの攻撃者が影響を受けるインストール環境で特権を昇格させることができます。
注意:この脆弱性を利用するためには、攻撃者は対象となるシステム上で低権限のコードを実行する能力を最初に取得する必要があります。
トレンドマイクロでは、CVE-2021-36741に関連する脆弱性を悪用しようとする行為を少なくとも1回確認しています。
Comments