【注意喚起】弊社製品の脆弱性 (CVE-2021-36741,CVE-2021-36742) を悪用した攻撃を確認したことによる修正プログラム適用のお願い:サポート情報 : トレンドマイクロ
以下製品において、脆弱性を悪用した攻撃を確認しました。
すでに公開済みの各修正プログラムで対応しておりますので、未適用の場合は早期の適用をお願いいたします。
■対象製品
Trend Micro Apex One (以下、Apex One) 2019 Build 9565 未満
Trend Micro Apex One SaaS (以下、Apex One SaaS) Build 202107 未満
ウイルスバスター コーポレートエディション (以下、ウイルスバスター Corp.) XG Service Pack 1 Build 6058 未満
ウイルスバスター ビジネスセキュリティ 10.0 Service Pack 1 Build 2329 未満
■攻撃事例における影響、被害について
下記CVE-2021-36741とCVE-2021-36742に記載の脆弱性を組み合わせた攻撃が行われていることを確認しています。本脆弱性は外部から攻撃対象のネットワークに直接侵入して悪用できるものではありません。
通常Apex One、ウイルスバスター Corp.、ウイルスバスター ビジネスセキュリティの管理サーバは外部に公開されていないため、攻撃者が本脆弱性を悪用するためには、本脆弱性とは異なる手段で、予め標的組織の内部ネットワークへ侵入し、管理サーバへアクセス可能なクライアントの制御を奪取する必要があります。◆CVE-2021-36741
Apex One、Apex One SaaS、ウイルスバスター Corp.、ウイルスバスター ビジネスセキュリティにおいて、不適切な入力検証の脆弱性が確認されました。
これにより、遠隔から任意のファイルをアップロードされる可能性があります。
この脆弱性の悪用には攻撃者は対象となる製品の管理コンソールにログインするためのID、パスワード、Apex One SaaSで二要素認証を設定している場合は二要素認証の情報を何かしらの手段で入手している必要があります。
◆CVE-2021-36742
Apex One、Apex One SaaS、ウイルスバスター Corp.、ウイルスバスター ビジネスセキュリティにおいて、不適切な入力検証の脆弱性が確認されました。
これにより、ローカルでの権限昇格をされる可能性があります。
この脆弱性の悪用には対象のシステム上で低い権限でコードを実行できる必要があります。
脆弱性についての詳細は、2021年7月29日に公開予定の下記アラート/アドバイザリをご確認ください。
ウイルスバスターコーポレートエディション、Trend Micro Apex OneとTrend Micro Apex One SaaS の脆弱性について(2021年7月)
ウイルスバスタービジネスセキュリティで確認された複数の脆弱性について(2021年7月)
■対応方法
サポート提供期間中の各バージョンについて、修正プログラム (Critical Patch) を公開しております。
適用をされていない場合、早期に最新の修正プログラムの適用をお願いします。
ご使用のバージョン、ビルド情報の確認方法については、下記の製品Q&Aをご参照ください。製品Q&A:Apex One/ ウイルスバスター Corp.の製品情報の確認方法
製品Q&A:ウイルスバスター ビジネスセキュリティの製品情報確認方法
■修正プログラム (CVE-2021-36741, CVE-2021-36742に関する修正)
最新版ダウンロードページにて公開をしております。
製品 修正プログラムについて Apex One Patch5 (Build 9565) を適用してください。 ウイルスバスター Corp. XG SP1 Critical Patch (Build 6058) を適用してください。 ウイルスバスター ビジネスセキュリティ 10.0 SP1 Patch (Build 2329) を適用してください。 Apex One SaaSについては、2021年7月のメンテナンスで対応済みです。
製品Q&A:Trend Micro Apex One as a Service:メンテナンス情報
■その他、修正される脆弱性について
悪用が確認された脆弱性以外に、その他悪用されていない脆弱性も上記アラート/アドバイザリに併せて記載しております。
なお該当脆弱性に関しては、製品ごとに修正プログラムの対応ビルド及び脆弱性の有無が異なるため、各脆弱性ごとに対応状況を併せて記載します。
◆CVE-2021-32464
Apex One :2021年8月上旬に公開予定の修正プログラムで対応予定
Apex One SaaS : 2021年7月のメンテナンスで対応済み
ウイルスバスター Corp. XG SP1 : 該当脆弱性なし
ウイルスバスター ビジネスセキュリティ 10.0 SP1:該当脆弱性なし◆CVE-2021-32465
Apex One : 2021年8月上旬に公開予定の修正プログラムで対応予定
Apex One SaaS: 2021年7月のメンテナンスで対応済み
ウイルスバスター Corp. XG SP1 : Critical Patch Build 6058で対応
ウイルスバスター ビジネスセキュリティ 10.0 SP1:該当脆弱性なし
■修正プログラムについて、よくある質問
修正プログラムの適用について、多くのお客さまからいただくお問い合わせ内容を以下製品Q&Aにまとめていますので、ご確認ください。製品Q&A:修正プログラム適用時のよくある質問について
サポート情報 : トレンドマイクロ
関連URL
- 【注意喚起】弊社製品の脆弱性 (CVE-2021-36741,CVE-2021-36742) を悪用した攻撃を確認したことによる修正プログラム適用のお願い:サポート情報 : トレンドマイクロ
- ウイルスバスター ビジネスセキュリティサービスにおける不適切なパーミッション割り当てによる権限昇格の脆弱性(CVE-2021-32464)について:サポート情報 : トレンドマイクロ
- アラート/アドバイザリ:ウイルスバスター ビジネスセキュリティで確認された複数の脆弱性について(2021年7月):Q&A | Trend Micro Business Support
- アラート/アドバイザリ:ウイルスバスター ビジネスセキュリティサービスにおける不適切なパーミッション割り当てによる権限昇格の脆弱性:Q&A | Trend Micro Business Support
- アラート/アドバイザリ:ウイルスバスター コーポレートエディション、Trend Micro Apex OneとTrend Micro Apex One SaaS の脆弱性について(2021年7月):Q&A | Trend Micro Business Support
- アラート/アドバイザリ:Trend Micro Apex Oneとウイルスバスターコーポレートエディションで 確認された複数の脆弱性について(2021年1月):Q&A | Trend Micro Business Support
- 複数のトレンドマイクロ製企業向けエンドポイントセキュリティ製品の脆弱性に関する注意喚起
- JVNVU#93876919: 複数のトレンドマイクロ製企業向けエンドポイントセキュリティ製品における複数の脆弱性
- 【セキュリティ ニュース】トレンドマイクロのエンドポイント製品に脆弱性 - すでに悪用も、早急に更新を(1ページ目 / 全2ページ):Security NEXT
- トレンドマイクロ製企業向けセキュリティ製品に「緊急」の脆弱性 ~JVNが注意喚起 - 窓の杜
- アラート/アドバイザリ:Trend Micro Apex Oneとウイルスバスターコーポレートエディションで 確認された複数の脆弱性について(2021年1月):Q&A | Trend Micro Business Support
- アラート/アドバイザリ:ウイルスバスター コーポレートエディション、Trend Micro Apex OneとTrend Micro Apex One SaaS の脆弱性について(2021年7月):Q&A | Trend Micro Business Support
- Trend Micro Apex One 2019:Trend Micro Software Download Center
