A Trend Micro acaba de corrigir uma vulnerabilidade de zero dia que permitia a execução remota de código na solução de proteção de endpoint Apex One da Trend Micro. Essa vulnerabilidade foi ativamente explorada em ataques.
Trend Micro e a correção de vulnerabilidade de zero dia
Apex One é uma solução de segurança de endpoint voltada para empresas de todos os tamanhos, e o pacote “Worry-Free Business Security” foi projetado para pequenas e médias empresas. A falha de execução de código arbitrário é rastreada como CVE-2023-41179 e recebeu uma classificação de gravidade de 9,1 de acordo com CVSS v3, categorizando-a como “crítica”.
A falha existe em um módulo desinstalador de terceiros fornecido com o software de segurança. De acordo com o boletim de segurança da empresa, foi observada pelo menos uma tentativa ativa de ataques potenciais contra esta vulnerabilidade. “Os clientes são fortemente encorajados a atualizar para as versões mais recentes o mais rápido possível.”
Produtos afetados pela falha
A falha afeta os seguintes produtos: Trend Micro Apex One 2019; Trend Micro Apex One SaaS 2019; Worry-Free Business Security (WFBS) 10.0 SP1 (vendido como Virus Buster Business Security (Biz) no Japão); Worry-Free Business Security Services (WFBSS) 10.0 SP1 (vendido como Virus Buster Business Security Services (VBBSS) no Japão).
As correções foram disponibilizadas nas seguintes versões: Apex One 2019 Service Pack 1 – Patch 1 (compilação 12380); Apex One SaaS 14.0.12637; Patch 2495 da WFBS e; Atualização do WFBSS de 31 de julho.
Um fator atenuante é que, para explorar o CVE-2023-41179, o invasor deve ter roubado anteriormente as credenciais do console de gerenciamento do produto e usado-as para fazer login. De acordo com a Trend Micro, a exploração desse tipo de vulnerabilidade geralmente exige que um invasor tenha acesso (físico ou remoto) a uma máquina vulnerável.
O CERT japonês também emitiu um alerta sobre a exploração ativa da falha, instando os usuários do software afetado a atualizarem para uma versão segura o mais rápido possível.
Se a vulnerabilidade for explorada, um invasor que conseguir fazer login no console de administração do produto poderá executar código arbitrário com privilégio de sistema no PC onde o agente de segurança está instalado.
JPCERT
Uma solução alternativa eficaz é limitar o acesso ao console de administração do produto a redes confiáveis, bloqueando atores desonestos que tentam acessar o endpoint de locais externos e arbitrários. No entanto, em última análise, os administradores precisam instalar as atualizações de segurança para evitar que os agentes de ameaças que já violaram uma rede utilizem a falha para se espalharem lateralmente para outros dispositivos.