Trend Micro製品に緊急の脆弱性 既に悪用を確認

Trend Microは「Apex One」と「Worry-Free Business Security」に深刻度「緊急」の脆弱性が存在すると発表した。既に悪用も確認されており、該当する製品を使っているユーザーは迅速な対応が求められる。

[後藤大地，有限会社オングス]

　Trend Microは2023年9月19日（現地時間）、「Trend Micro Apex One」「Worry-Free Business Security」に脆弱（ぜいじゃく）性が存在すると発表した。既に悪用が確認されており、該当する製品を使用しているユーザーは速やかにアップデートを適用することが推奨される。

Trend Microが「Trend Micro Apex One」「Worry-Free Business Security」の脆弱性を報告（出典：Trend MicroのWebサイト）

ユーザーが取るべき対策は

　影響を受ける製品およびバージョンは次の通りだ。

• Trend Micro Apex One 2019（オンプレミス） Windows版
• Trend Micro Apex One as a Service（SaaS） Windows版
• Trend Micro Worry-Free Business Security（WFBS） 10.0 SP1 Windows版
• Trend Micro Worry-Free Business Security Services（WFBSS）（SaaS） Windows版

　脆弱性が修正された製品およびバージョンは次の通りだ。

• Trend Micro Apex One SP1 Patch 1（B12380） Windows版
• Trend Micro Apex One as a Service July 2023 Monthly Patch（202307） Agent Version: 14.0.12637 Windows版
• Trend Micro WFBS 10.0 SP1 Patch 2495 Windows版
• Trend Micro WFBSS July 31, 2023 Monthly Maintenance Release Windows版

　修正対象となっている脆弱性は「CVE-2023-41179」として特定されている。この脆弱性は前述した製品に同梱されているサードパーティー製のAVアンインストーラモジュールに存在し、利用されると任意のコマンドが実行されるリスクがある。共通脆弱性評価システム（CVSS）v3のスコア値は9.1で、深刻度は「緊急」（Critical）に分類される。

　攻撃者が同脆弱性を利用するには、標的となるシステムの管理コントロールアクセス権を取得する必要があるため、脆弱性が修正されたバージョンへのアップデートやパッチの適用、影響を受ける可能性があるシステムへのユーザーアクセス権限の見直し、製品管理コンソールへのアクセス制限の実施、ポリシー／境界セキュリティを最新にするといった対策が推奨されている。