Trend Micro製品に緊急の脆弱性 既に悪用を確認

Trend Microは「Apex One」と「Worry-Free Business Security」に深刻度「緊急」の脆弱性が存在すると発表した。既に悪用も確認されており、該当する製品を使っているユーザーは迅速な対応が求められる。

» 2023年09月21日 09時01分 公開
[後藤大地有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 Trend Microは2023年9月19日(現地時間)、「Trend Micro Apex One」「Worry-Free Business Security」に脆弱(ぜいじゃく)性が存在すると発表した。既に悪用が確認されており、該当する製品を使用しているユーザーは速やかにアップデートを適用することが推奨される。

Trend Microが「Trend Micro Apex One」「Worry-Free Business Security」の脆弱性を報告(出典:Trend MicroのWebサイト)

ユーザーが取るべき対策は

 影響を受ける製品およびバージョンは次の通りだ。

  • Trend Micro Apex One 2019(オンプレミス) Windows版
  • Trend Micro Apex One as a Service(SaaS) Windows版
  • Trend Micro Worry-Free Business Security(WFBS) 10.0 SP1 Windows版
  • Trend Micro Worry-Free Business Security Services(WFBSS)(SaaS) Windows版

 脆弱性が修正された製品およびバージョンは次の通りだ。

  • Trend Micro Apex One SP1 Patch 1(B12380) Windows版
  • Trend Micro Apex One as a Service July 2023 Monthly Patch(202307) Agent Version: 14.0.12637 Windows版
  • Trend Micro WFBS 10.0 SP1 Patch 2495 Windows版
  • Trend Micro WFBSS July 31, 2023 Monthly Maintenance Release Windows版

 修正対象となっている脆弱性は「CVE-2023-41179」として特定されている。この脆弱性は前述した製品に同梱されているサードパーティー製のAVアンインストーラモジュールに存在し、利用されると任意のコマンドが実行されるリスクがある。共通脆弱性評価システム(CVSS)v3のスコア値は9.1で、深刻度は「緊急」(Critical)に分類される。

 攻撃者が同脆弱性を利用するには、標的となるシステムの管理コントロールアクセス権を取得する必要があるため、脆弱性が修正されたバージョンへのアップデートやパッチの適用、影響を受ける可能性があるシステムへのユーザーアクセス権限の見直し、製品管理コンソールへのアクセス制限の実施、ポリシー/境界セキュリティを最新にするといった対策が推奨されている。

Copyright © ITmedia, Inc. All Rights Reserved.