トレンドマイクロは3月16日、法人向けセキュリティ製品「Trend Micro Apex One」「ウイルスバスター コーポレートエディション」「ウイルスバスター ビジネスセキュリティ」の3製品に脆弱性が存在し、一部の脆弱性を悪用する攻撃が発生していることを明らかにした。脆弱性を解決する修正プログラムの早期適用をユーザーに呼び掛けている。
同社によると、これら製品には深刻度の高い脆弱性が複数あり、このうち幾つかの脆弱性を悪用する攻撃が確認された。なお、脆弱性を悪用するには、Apex Oneとウイルスバスター コーポレートエディションでは管理サーバー、ウイルスバスター ビジネスセキュリティでは同サービスのサーバーに攻撃者がネットワーク経由でアクセスする必要があり、攻撃者が外部からリモートで直接内部のこれらサーバーを攻撃できるものではないという。サーバーへのアクセス許可を信頼されたネットワークからのみに限定することで、脆弱性の悪用リスクを軽減できるとする。
Apex Oneとウイルスバスター コーポレートエディションには5件の脆弱性があり、うち2件で悪用攻撃が発生している。脆弱性の概要は、リモートからのコード実行やコンポーネントダウンロード時の整合性チェックの回避、システム権限レベルでの問題(サーバー上の任意ファイルの削除、リモートでの任意のコード実行、任意ファイルのアップロード)。共通脆弱性評価システム(CVSS)バージョン3による評価は8.0~10.0(最大値は10.0)とされ、深刻度は4件が「緊急」、1件が「高」となっている。
ウイルスバスター ビジネスセキュリティには4件の脆弱性があり、うち1件で悪用攻撃が発生、また、4件のうち3件はApex Oneとウイルスバスター コーポレートエディションに存在する脆弱性となる。脆弱性の概要は、コンポーネントダウンロード時の整合性チェックの回避、ディレクトリートラバーサル、システム権限レベルでの問題(サーバー上の任意ファイルの削除、リモートでの任意のコード実行)。CVSSバージョン3による評価は8.0~10.0(同)とされ、深刻度は2件が「緊急」、2件が「高」となっている。
今回の問題を受ける製品と修正プログラムは下記の通り。
Trend Micro Apex One
脆弱性の影響を受ける対象:Apex One バージョン 2019
修正プログラム:Apex One バージョン 2019 CP 2117
ウイルスバスター コーポレートエディション
脆弱性の影響を受ける対象:ウイルスバスター コーポレートエディション XG SP1およびXG(GM)
修正プログラム:ウイルスバスター コーポレートエディション XG SP1 CP 5474
ウイルスバスター ビジネスセキュリティ
脆弱性の影響を受ける対象:ウイルスバスター ビジネスセキュリティ バージョン 10.0 SP1、9.5、9.0 SP3
修正プログラム:ウイルスバスター ビジネスセキュリティ バージョン 10.0 SP1 Patch 2190、9.5 CP 1525、9.0 SP3 CP 4417
