Суть уязвимости

Уязвимость в исполняемом файле (cgiNotifyServer.exe) серверов Apex One и OfficeScan. Удаленный атакующий может отправить специально сформированный HTTP-запрос, который приводит к записи произвольных данных в произвольное место на файловой системе сервера с правами SYSTEM. Это позволяет обойти аутентификацию и получить контроль над сервером.

Как исправить

Установите официальный патч от Trend Micro, устраняющий эту уязвимость.

1. Для Trend Micro Apex One (2019):

   • Установите Patch 1 (Build 4789) или более поздний.
   • Скачайте и установите его через консоль управления продукта.

2. Для Trend Micro OfficeScan:

   • Установите Patch 1 (Build 4789) для версии XG SP1.
   • Скачайте и установите его через консоль управления продукта.

Порядок действий: * Войдите в веб-консоль управления вашим продуктом (Apex One или OfficeScan). * Перейдите в раздел обновлений или управления патчами. * Убедитесь, что установлена указанная выше версия патча. Если нет — установите его.

Временное решение

Если немедленная установка патча невозможна, ограничьте доступ к уязвимому компоненту.

1. Ограничьте сетевой доступ:

   • Настройте межсетевой экран (брандмауэр) на сервере или сетевом оборудовании, чтобы разрешить подключения к порту веб-консоли управления (обычно 8443/TCP) только с доверенных IP-адресов (например, с подсети администраторов).
   • Заблокируйте все входящие подключения к этому порту из интернета.

   Пример правила для iptables (Linux-сервер): ```bash

   Разрешить только с доверенной сети 192.168.1.0/24

   iptables -A INPUT -p tcp --dport 8443 -s 192.168.1.0/24 -j ACCEPT

   Заблокировать все остальные попытки подключения к порту 8443

   iptables -A INPUT -p tcp --dport 8443 -j DROP ```

2. Используйте WAF:

   • Настройте правила в Web Application Firewall (WAF) для блокировки HTTP-запросов, содержащих в пути или параметрах шаблоны, связанные с уязвимым файлом (cgiNotifyServer.exe).