CVE-2023-41179

Trend Micro Apex One and Worry-Free Business Security

ВЕРОЯТНОСТЬ 2.4%
Дата обнаружения

2023-09-21

Официальное описание

Trend Micro Apex One and Worry-Free Business Security contain an unspecified vulnerability in the third-party anti-virus uninstaller that could allow an attacker to manipulate the module to conduct remote code execution. An attacker must first obtain administrative console access on the target system in order to exploit this vulnerability.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-41179 представляет собой критическую брешь в модуле удаления сторонних антивирусов (Third-party AV Uninstaller), который интегрирован в решения Trend Micro Apex One и Worry-Free Business Security.

Уязвимость позволяет злоумышленнику, уже обладающему административным доступом к консоли управления, манипулировать параметрами этого модуля для выполнения произвольного кода (RCE) на целевой системе. Несмотря на то что для эксплуатации требуется наличие привилегий администратора консоли, риск остается высоким, так как это позволяет атакующему закрепиться в системе, обойти механизмы самозащиты антивируса и расширить влияние на инфраструктуру.

Как исправить

Для полного устранения уязвимости необходимо установить соответствующие патчи и критические обновления (Critical Patches), выпущенные производителем.

Для Trend Micro Apex One: 1. Скачайте и установите Apex One Service Pack 1 (Server Build 12380 и Agent Build 12380) или более позднюю версию. 2. Если используется SaaS-версия, обновление применяется автоматически со стороны Trend Micro.

Для Worry-Free Business Security (WFBS): 1. Для версии 10.0 SP1: установите Critical Patch 2495.

Процесс обновления через консоль (общий алгоритм): 1. Перейдите в раздел обновлений сервера. 2. Проверьте наличие доступных патчей. 3. Выполните загрузку и развертывание.

Проверить версию установленного билда можно в консоли управления: Help -> About

Временные меры

Если немедленная установка патча невозможна, рекомендуется выполнить следующие действия для снижения риска:

  1. Ограничение доступа к консоли: Настройте политики доступа (ACL) так, чтобы доступ к веб-консоли управления имели только доверенные IP-адреса администраторов.

  2. Двухфакторная аутентификация (2FA): Включите обязательную двухфакторную аутентификацию для всех учетных записей с правами администратора консоли, чтобы предотвратить несанкционированный вход.

  3. Аудит действий: Регулярно проверяйте журналы событий (System Logs) на предмет подозрительной активности, связанной с использованием модуля удаления стороннего ПО.

  4. Изоляция сегмента управления: Разместите сервер управления антивирусной защитой в изолированном сегменте сети (VLAN), недоступном для рядовых пользователей.

  5. Проверка прав доступа: Проведите ревизию учетных записей администраторов и удалите неиспользуемые или избыточные привилегии.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей