-
09/04/2020
-
110
-
1.015 bài viết
Lỗ hổng 0-day nghiêm trọng trong Trend Micro Apex One bị khai thác thực tế
Trend Micro đang đối mặt với hai lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng trong hệ thống Apex One Management Console, hiện đang bị khai thác tích cực. Công ty xác nhận ghi nhận ít nhất một trường hợp khai thác trong hệ thống sản xuất, từ đó đã phát hành công cụ khắc phục khẩn cấp nhằm ngăn chặn nguy cơ lan rộng.
Hai lỗ hổng nghiêm trọng mang định danh CVE-2025-54948 và CVE-2025-54987 đều được đánh giá ở mức 9.4 theo thang điểm CVSS 3.1, cho thấy mức độ rủi ro tối đa của hai lỗ hổng này. Cả hai đều thuộc nhóm lỗ hổng chèn lệnh hệ điều hành (CWE-78), cho phép tin tặc chưa qua xác thực tải lên mã độc và thực thi các lệnh tùy ý trên hệ thống bị ảnh hưởng, mở ra cánh cửa tấn công từ xa với toàn quyền kiểm soát.
Lỗ hổng ảnh hưởng đến Apex One Management Server phiên bản 14039 trở xuống trên nền tảng Windows. Kẻ tấn công có thể tương tác trực tiếp với giao diện quản trị nếu cổng này được mở ra internet mà không cần bất kỳ xác thực nào. Mọi tổ chức để lộ địa chỉ IP của hệ thống quản trị ra bên ngoài đều trở thành điểm yếu rõ rệt trong chuỗi phòng thủ.
Về mặt kỹ thuật, CVE-2025-54987 khai thác cùng một cơ chế chèn lệnh như CVE-2025-54948, nhưng được thiết kế để nhắm đến các tập lệnh xử lý dành riêng cho các kiến trúc CPU khác nhau. Điều này giúp mở rộng phạm vi hệ thống có thể bị khai thác, đồng thời cho phép tin tặc tùy biến payload theo môi trường thực thi, tăng xác suất thành công và giảm nguy cơ bị phát hiện. Cách tiếp cận theo hướng tối ưu hóa theo kiến trúc cũng cho thấy mức độ tinh vi và chuẩn bị có chủ đích trong các chiến dịch khai thác.
Đặc điểm đặc biệt nguy hiểm của cả hai lỗ hổng là không yêu cầu xác thực đầu vào. Một khi kẻ tấn công tiếp cận được giao diện quản trị, chúng có thể dễ dàng leo thang đặc quyền và thực thi lệnh ở cấp hệ thống mà không cần vượt qua các tầng bảo mật bổ sung. Đây là kiểu khai thác cực kỳ phù hợp với các chiến dịch tấn công tự động hoặc quy mô lớn nhắm vào hạ tầng mở.
Để đối phó khẩn cấp, Trend Micro đã phát hành công cụ FixTool_Aug2025.exe, với mã SHA-256 c945a885a31679a913802a2aefde52b672bb2c8ac98bbed52b723e6733c0eadc. Công cụ này giúp vá tạm thời bằng cách vô hiệu hóa cơ chế bị khai thác, đồng thời chặn đứng các kịch bản tấn công đã biết. Tuy nhiên, nó cũng tạm thời tắt tính năng Remote Install Agent, vốn được dùng để cài đặt agent từ xa thông qua giao diện quản trị.
Với các khách hàng sử dụng phiên bản Apex One dạng dịch vụ (as a Service) hoặc Trend Vision One Endpoint Security, các biện pháp bảo vệ đã được triển khai từ backend vào ngày 31/7/2025, không cần người dùng can thiệp và không gây gián đoạn hoạt động.
Bản vá chính thức dự kiến sẽ được phát hành vào giữa tháng 8/2025. Bản cập nhật này sẽ khôi phục hoàn toàn chức năng Remote Install Agent đồng thời duy trì khả năng phòng vệ trước các khai thác hiện tại. Trong thời gian chờ, các chuyên gia bảo mật khuyến nghị tổ chức khẩn trương triển khai công cụ FixTool, đặc biệt nếu giao diện quản trị có khả năng truy cập từ internet, và tăng cường bảo vệ bằng các biện pháp phòng thủ chiều sâu như giới hạn truy cập IP, phân đoạn mạng và kiểm soát xác thực hai lớp.
Hai lỗ hổng nghiêm trọng mang định danh CVE-2025-54948 và CVE-2025-54987 đều được đánh giá ở mức 9.4 theo thang điểm CVSS 3.1, cho thấy mức độ rủi ro tối đa của hai lỗ hổng này. Cả hai đều thuộc nhóm lỗ hổng chèn lệnh hệ điều hành (CWE-78), cho phép tin tặc chưa qua xác thực tải lên mã độc và thực thi các lệnh tùy ý trên hệ thống bị ảnh hưởng, mở ra cánh cửa tấn công từ xa với toàn quyền kiểm soát.
Lỗ hổng ảnh hưởng đến Apex One Management Server phiên bản 14039 trở xuống trên nền tảng Windows. Kẻ tấn công có thể tương tác trực tiếp với giao diện quản trị nếu cổng này được mở ra internet mà không cần bất kỳ xác thực nào. Mọi tổ chức để lộ địa chỉ IP của hệ thống quản trị ra bên ngoài đều trở thành điểm yếu rõ rệt trong chuỗi phòng thủ.
Về mặt kỹ thuật, CVE-2025-54987 khai thác cùng một cơ chế chèn lệnh như CVE-2025-54948, nhưng được thiết kế để nhắm đến các tập lệnh xử lý dành riêng cho các kiến trúc CPU khác nhau. Điều này giúp mở rộng phạm vi hệ thống có thể bị khai thác, đồng thời cho phép tin tặc tùy biến payload theo môi trường thực thi, tăng xác suất thành công và giảm nguy cơ bị phát hiện. Cách tiếp cận theo hướng tối ưu hóa theo kiến trúc cũng cho thấy mức độ tinh vi và chuẩn bị có chủ đích trong các chiến dịch khai thác.
Đặc điểm đặc biệt nguy hiểm của cả hai lỗ hổng là không yêu cầu xác thực đầu vào. Một khi kẻ tấn công tiếp cận được giao diện quản trị, chúng có thể dễ dàng leo thang đặc quyền và thực thi lệnh ở cấp hệ thống mà không cần vượt qua các tầng bảo mật bổ sung. Đây là kiểu khai thác cực kỳ phù hợp với các chiến dịch tấn công tự động hoặc quy mô lớn nhắm vào hạ tầng mở.
Để đối phó khẩn cấp, Trend Micro đã phát hành công cụ FixTool_Aug2025.exe, với mã SHA-256 c945a885a31679a913802a2aefde52b672bb2c8ac98bbed52b723e6733c0eadc. Công cụ này giúp vá tạm thời bằng cách vô hiệu hóa cơ chế bị khai thác, đồng thời chặn đứng các kịch bản tấn công đã biết. Tuy nhiên, nó cũng tạm thời tắt tính năng Remote Install Agent, vốn được dùng để cài đặt agent từ xa thông qua giao diện quản trị.
Với các khách hàng sử dụng phiên bản Apex One dạng dịch vụ (as a Service) hoặc Trend Vision One Endpoint Security, các biện pháp bảo vệ đã được triển khai từ backend vào ngày 31/7/2025, không cần người dùng can thiệp và không gây gián đoạn hoạt động.
Bản vá chính thức dự kiến sẽ được phát hành vào giữa tháng 8/2025. Bản cập nhật này sẽ khôi phục hoàn toàn chức năng Remote Install Agent đồng thời duy trì khả năng phòng vệ trước các khai thác hiện tại. Trong thời gian chờ, các chuyên gia bảo mật khuyến nghị tổ chức khẩn trương triển khai công cụ FixTool, đặc biệt nếu giao diện quản trị có khả năng truy cập từ internet, và tăng cường bảo vệ bằng các biện pháp phòng thủ chiều sâu như giới hạn truy cập IP, phân đoạn mạng và kiểm soát xác thực hai lớp.
Theo Cyber Security News
Chỉnh sửa lần cuối: