CVE-2019-18187

Trend Micro OfficeScan

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Trend Micro OfficeScan contains a directory traversal vulnerability by extracting files from a zip file to a specific folder on the OfficeScan server, leading to remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

Злоумышленник может отправить на сервер OfficeScan специально сформированный ZIP-архив. При его обработке происходит обход ограничений директорий (Directory Traversal), что позволяет записать вредоносные файлы в произвольные места на файловой системе сервера. Это приводит к удаленному выполнению кода (RCE) с правами учетной записи, под которой работает служба OfficeScan.

Как исправить

Установите официальный патч от Trend Micro, который устраняет эту уязвимость.

  1. Определите текущую версию OfficeScan. Версия указана в консоли управления или в свойствах установленной программы.

  2. Загрузите и установите соответствующий патч:

    • Для OfficeScan XG — установите Patch 3 (Build 1378) или более позднюю версию.
    • Для OfficeScan 11.0 — установите Patch 7 (Build 7510) или более позднюю версию.

    Патчи доступны в Центре загрузок Trend Micro (Trend Micro Download Center). Для установки следуйте инструкциям из файла Readme.txt, входящего в состав патча.

  3. Проверка установки: После установки перезапустите службы OfficeScan и убедитесь, что в консоли управления отображается новая версия сборки (Build).

Временное решение

Если немедленная установка патча невозможна, выполните следующие действия для снижения риска:

  1. Ограничьте сетевой доступ:

    • Настройте межсетевой экран (Firewall) так, чтобы доступ к веб-портам консоли управления OfficeScan (по умолчанию TCP/4343) был разрешен только с доверенных административных подсетей или конкретных IP-адресов.

  2. Настройте WAF (Web Application Firewall):

    • Разместите WAF перед сервером OfficeScan.
    • Настройте правила для блокировки HTTP-запросов, содержащих в теле или заголовках последовательности, характерные для Path Traversal (например, ../, ..\, %2e%2e%2f).

  3. Проверьте права доступа:

    • Убедитесь, что служба OfficeScan запущена под учетной записью с минимально необходимыми привилегиями (не под учетной записью локального администратора или SYSTEM, если это допустимо для работы продукта).
    • Проверьте и ужесточите права на запись для ключевых системных директорий за пределами папки установки OfficeScan.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей