CVE-2022-26871

Trend Micro Apex Central

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-31

Официальное описание

An arbitrary file upload vulnerability in Trend Micro Apex Central could allow for remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

Злоумышленник может отправить на веб-интерфейс Trend Micro Apex Central специально сформированный HTTP-запрос с произвольным файлом (например, веб-шеллом). Из-за недостаточной проверки загружаемых данных, этот файл может быть сохранен на сервере в исполняемом контексте. Это позволяет выполнить произвольный код на сервере управления с правами учетной записи службы Apex Central.

Как исправить

Установите официальный патч от Trend Micro, который устраняет эту уязвимость.

  1. Определите текущую версию: В веб-консоли Apex Central перейдите в раздел About (О программе).
  2. Загрузите и установите обновление: Перейдите на официальный портал поддержки Trend Micro и скачайте обновление для вашей версии. Ключевые исправленные версии:
    • Apex Central (on-premises) 2019: Обновитесь до версии Build 6012 или новее.
    • Apex Central as a Service: Уязвимость была устранена на стороне Trend Micro. Убедитесь, что ваш тенант использует последнюю версию сервиса.
  3. Процесс установки (общий):
    • Создайте резервную копию системы и базы данных.
    • Остановите службы Apex Central.
    • Запустите установщик обновления с правами администратора.
    • Следуйте инструкциям мастера установки.
    • После перезагрузки проверьте версию в разделе About.

Временное решение

Если немедленная установка патча невозможна, примите следующие меры для снижения риска:

  1. Ограничьте сетевой доступ:
    • Настройте групповые политики (GPO) или локальные брандмауэры на сервере Apex Central, чтобы разрешить входящие подключения к веб-порту (по умолчанию 443/TCP) только с доверенных IP-адресов (например, с подсетей администраторов и управляемых рабочих станций). ```bash

    Пример для Windows Firewall (PowerShell от имени администратора)

    New-NetFirewallRule -DisplayName "Allow Apex Web from Trusted" -Direction Inbound -LocalPort 443 -Protocol TCP -RemoteAddress 192.168.1.0/24 -Action Allow ```

  2. Настройте WAF (Web Application Firewall):
    • Если перед Apex Central развернут WAF (например, ModSecurity, F5, Imperva), добавьте правило, блокирующее загрузку файлов с опасными расширениями (.jsp, .php, .asp, .aspx, .war, .jar) или содержащих в теле известные сигнатуры веб-шеллов.
  3. Повысьте мониторинг:
    • Включите детальное аудит-логирование веб-доступа (IIS или другого используемого веб-сервера) и настройте алерты на попытки загрузки файлов с нестандартными именами или в нестандартные пути.
    • Регулярно проверяйте целостность файлов в каталогах загрузок веб-приложения.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей