-
09/04/2020
-
128
-
1.641 bài viết
Apex One dính 8 lỗ hổng nặng, có thể thực thi mã từ xa
Trend Micro vừa phát hành bản vá bảo mật quan trọng ngày 24/02/2026 cho dòng sản phẩm bảo mật đầu cuối Apex One sau khi phát hiện nhiều lỗ hổng có thể cho phép tin tặc thực thi mã từ xa và leo thang đặc quyền trên cả Windows lẫn macOS. Các lỗ hổng này ảnh hưởng đến môi trường doanh nghiệp đang sử dụng Apex One bản on-premises và cả các phiên bản SaaS.
Lỗ hổng xảy ra ở đâu và mức độ nguy hiểm ra sao?
Các phiên bản bị ảnh hưởng gồm Apex One 2019 on-premises (Windows), Apex One as a Service và Trend Vision One Endpoint Standard triển khai trên nền tảng SaaS. Người dùng on-premises cần cập nhật lên bản Critical Patch Build 14136. Với bản SaaS trên Mac, Trend Micro đã tự động cập nhật thông qua cơ chế ActiveUpdate từ cuối năm 2025.
Tổng cộng có 8 lỗ hổng được công bố, mang mã từ CVE-2025-71210 đến CVE-2025-71217. Hai lỗ hổng nghiêm trọng nhất là CVE-2025-71210 và CVE-2025-71211 có điểm CVSS 9,8, thuộc nhóm Directory Traversal (CWE-22). Nếu khai thác thành công, kẻ tấn công không cần xác thực vẫn có thể tải lên và thực thi mã độc thông qua bảng điều khiển quản lý (management console).
Ngoài ra còn có nhiều lỗ hổng leo thang đặc quyền (LPE) trên Windows và Mac, điểm CVSS dao động 7,2 đến 7,8, liên quan đến lỗi xác thực nguồn gốc (CWE-346), lỗi theo liên kết (CWE-59) và điều kiện race condition dạng TOCTOU (CWE-367).
Tổng cộng có 8 lỗ hổng được công bố, mang mã từ CVE-2025-71210 đến CVE-2025-71217. Hai lỗ hổng nghiêm trọng nhất là CVE-2025-71210 và CVE-2025-71211 có điểm CVSS 9,8, thuộc nhóm Directory Traversal (CWE-22). Nếu khai thác thành công, kẻ tấn công không cần xác thực vẫn có thể tải lên và thực thi mã độc thông qua bảng điều khiển quản lý (management console).
Ngoài ra còn có nhiều lỗ hổng leo thang đặc quyền (LPE) trên Windows và Mac, điểm CVSS dao động 7,2 đến 7,8, liên quan đến lỗi xác thực nguồn gốc (CWE-346), lỗi theo liên kết (CWE-59) và điều kiện race condition dạng TOCTOU (CWE-367).
Cơ chế khai thác và nguyên nhân
Hai lỗ hổng nghiêm trọng xuất phát từ lỗi kiểm soát đường dẫn trong console quản trị. Tin tặc có thể lợi dụng kỹ thuật directory traversal để ghi file độc hại vào vị trí ngoài thư mục cho phép, từ đó thực thi mã trên máy chủ quản lý. Nếu console được mở ra Internet hoặc không giới hạn IP truy cập, nguy cơ bị tấn công sẽ tăng cao.
Các lỗ hổng leo thang đặc quyền lại cho phép tài khoản có quyền thấp nâng lên quyền hệ thống thông qua sai sót trong kiểm tra nguồn gốc hoặc xử lý file tạm thời. Điều này đặc biệt nguy hiểm trong môi trường doanh nghiệp, nơi một điểm xâm nhập nhỏ có thể trở thành bàn đạp kiểm soát toàn hệ thống.
Các lỗ hổng leo thang đặc quyền lại cho phép tài khoản có quyền thấp nâng lên quyền hệ thống thông qua sai sót trong kiểm tra nguồn gốc hoặc xử lý file tạm thời. Điều này đặc biệt nguy hiểm trong môi trường doanh nghiệp, nơi một điểm xâm nhập nhỏ có thể trở thành bàn đạp kiểm soát toàn hệ thống.
Rủi ro và phạm vi ảnh hưởng
Nếu bị khai thác, tin tặc có thể:
- Thực thi mã từ xa trên máy chủ quản lý bảo mật
- Chiếm quyền quản trị hệ thống
- Vô hiệu hóa phần mềm bảo mật
- Triển khai ransomware hoặc đánh cắp dữ liệu
Hiện chưa ghi nhận khai thác ngoài thực tế, nhưng do lỗ hổng liên quan trực tiếp đến hệ thống bảo mật đầu cuối, mức độ rủi ro được đánh giá rất cao.
Khuyến nghị từ chuyên gia
Trend Micro đã phát hành bản vá chính thức. Doanh nghiệp cần:
- Cập nhật Apex One lên Critical Patch Build 14136 (on-premises)
- Đảm bảo agent SaaS đang ở phiên bản mới nhất
- Giới hạn truy cập console quản lý bằng IP nội bộ
- Rà soát chính sách truy cập từ xa
- Kiểm tra log bất thường liên quan đến upload file hoặc truy cập console
Ngay cả các giải pháp bảo mật cũng có thể trở thành mục tiêu tấn công nếu tồn tại lỗ hổng nghiêm trọng. Doanh nghiệp cần xem việc cập nhật bản vá là ưu tiên hàng đầu, đồng thời thường xuyên kiểm tra cấu hình và giới hạn bề mặt tấn công. Trong bối cảnh các mối đe dọa ngày càng tinh vi, việc chậm trễ cập nhật có thể phải trả giá bằng toàn bộ hệ thống.