CVE-2025-54948

Суть уязвимости

Уязвимость CVE-2025-54948 представляет собой внедрение команд операционной системы (OS Command Injection) в веб-компонентах Trend Micro Apex One Management Console (on-premise). Недостаточная проверка и очистка входных данных позволяет злоумышленнику отправить специально сформированный HTTP-запрос к уязвимому эндпоинту. Уязвимость является критической, так как не требует предварительной аутентификации (pre-authenticated). Любой удаленный атакующий, имеющий сетевой доступ к порту консоли управления, может загрузить вредоносный код и выполнить произвольные команды на сервере. Успешная эксплуатация приводит к удаленному выполнению кода (RCE) с привилегиями службы веб-сервера (как правило, с высокими системными правами), что означает полную компрометацию сервера управления и потенциальный захват контроля над всеми управляемыми агентами (endpoint-устройствами).

Как исправить

Единственным гарантированным способом устранения данной уязвимости является установка официального обновления безопасности (Critical Patch или Hotfix) от компании Trend Micro. 1. Сделайте полную резервную копию базы данных SQL, используемой Apex One. 2. Создайте снимок (snapshot) виртуальной машины сервера управления Apex One для возможности быстрого отката. 3. Авторизуйтесь в Trend Micro Download Center или Customer Licensing Portal (CLP). 4. Перейдите в раздел загрузок для продукта Apex One и скачайте актуальный патч, в описании которого указано закрытие CVE-2025-54948. 5. Скопируйте установочный файл на сервер управления. 6. Запустите исполняемый файл от имени Администратора и следуйте инструкциям мастера установки. 7. После завершения установки очистите кэш браузера и войдите в веб-консоль. 8. Перейдите в раздел "Help" -> "About" и убедитесь, что номер сборки (Build Number) обновился до версии, содержащей исправление.

Временные меры

Если немедленная установка патча невозможна в связи с регламентными работами, необходимо срочно снизить поверхность атаки с помощью компенсирующих мер. 1. Строго ограничьте сетевой доступ к веб-консоли управления Apex One (по умолчанию порты 4343/TCP и 443/TCP). 2. Доступ должен быть разрешен только с выделенных IP-адресов администраторов (Jump Hosts) или из защищенного Management VLAN. 3. Настройте локальный брандмауэр Windows на сервере Apex One для ограничения доступа. Сначала создайте разрешающее правило для подсети администраторов (например, 192.168.100.0/24):

New-NetFirewallRule -DisplayName "Allow Apex One Console Admin" -Direction Inbound -LocalPort 4343,443 -Protocol TCP -Action Allow -RemoteAddress 192.168.100.0/24

1. Затем создайте запрещающее правило для всех остальных подключений к этим портам:

New-NetFirewallRule -DisplayName "Block Apex One Console All" -Direction Inbound -LocalPort 4343,443 -Protocol TCP -Action Block

1. Категорически запретите публикацию интерфейса Management Console в сеть Интернет.
2. Если к консоли требуется удаленный доступ, он должен осуществляться исключительно через корпоративный VPN с обязательным использованием многофакторной аутентификации (MFA).
3. Активируйте на корпоративном межсетевом экране (NGFW) или системе предотвращения вторжений (IPS) сигнатуры, выявляющие попытки OS Command Injection (блокировка спецсимволов |, ;, &&, $() в URI и теле запросов к серверу Apex One).