CVE-2020-8468

Trend Micro Apex One, OfficeScan and Worry-Free Business Security Agents

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Trend Micro Apex One, OfficeScan, and Worry-Free Business Security agents contain a content validation escape vulnerability that could allow an attacker to manipulate certain agent client components.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2020-8468) — это ошибка валидации содержимого в агентах Trend Micro. Злоумышленник, имеющий доступ к сети, может отправить специально сформированные запросы к уязвимым компонентам агента (например, к службе ntrtscan). Это позволяет обойти проверки и выполнить произвольный код на компьютере-жертве с правами SYSTEM (на Windows) или root (на Linux), что ведет к полному контролю над системой.

Как исправить

Установите обновления для агентов безопасности, как указано ниже. Обновление должно быть развернуто с сервера управления (Trend Micro Apex One/OfficeScan) или через центральный веб-интерфейс (Worry-Free).

Конкретные патчи: * Trend Micro Apex One (2019): Установите патч 1 (Build 6010) или выше. * Trend Micro OfficeScan: Установите патч 6 (Build 6110) или выше для XG SP1. * Trend Micro Worry-Free Business Security: Обновите агенты до версии 10.0 SP1 или выше.

Для Linux-агентов (если обновление через консоль):

# 1. Скачайте актуальный установочный пакет с портала Trend Micro.
# 2. Остановите службу агента.
sudo /opt/TrendMicro/mini_httpd/stop-httpd
sudo /opt/TrendMicro/Anti-Virus/stop-uvscan

# 3. Запустите установщик нового пакета (имя файла может отличаться).
sudo ./install-agent.sh

# 4. Запустите службы.
sudo /opt/TrendMicro/Anti-Virus/start-uvscan
sudo /opt/TrendMicro/mini_httpd/start-httpd

Для Windows-агентов: Обновление распространяется автоматически через сервер управления. Убедитесь, что на сервере установлен требуемый патч, и запустите принудительную рассылку обновлений агентам.

Временное решение

Если немедленное обновление невозможно, примените следующие ограничения на уровне сети:

  1. Ограничьте доступ к портам агента. Настройте групповые политики (GPO) или iptables, чтобы разрешить связь с агентом только с доверенных IP-адресов (например, только с серверов управления Trend Micro).

    • Порт по умолчанию: 4343/tcp (для общения агента с сервером). ```bash

    Пример iptables для Linux-хоста (разрешить только с IP 192.168.1.10)

    iptables -A INPUT -p tcp --dport 4343 -s 192.168.1.10 -j ACCEPT iptables -A INPUT -p tcp --dport 4343 -j DROP ```

  2. Сегментируйте сеть. Разместите компьютеры с агентами в отдельном VLAN, изолированном от пользовательских сегментов и интернета.

  3. Контролируйте исходящие соединения. Настройте межсетевой экран так, чтобы агенты могли инициировать соединения только к серверам управления Trend Micro, блокируя все входящие соединения к ним из других подсетей.

Важно: Эти меры лишь снижают поверхность атаки. Полное устранение уязвимости возможно только путем установки официального патча.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей