Trend Micro a corrigé une vulnérabilité d’exécution de code à distance Zero Day dans la solution de protection des points de terminaison Apex One de Trend Micro, qui était activement exploitée lors d’attaques.

Apex One est une solution de sécurité des points de terminaison destinée aux entreprises de toutes tailles, et la suite « Worry-Free Business Security » est conçue pour les petites et moyennes entreprises.

La faille d’exécution de code arbitraire est identifiée comme CVE-2023-41179 et a reçu un indice de gravité de 9,1 selon CVSS v3, la catégorisant comme « critique ».

La faille existe dans un module de désinstallation tiers fourni avec le logiciel de sécurité.

« Trend Micro a observé au moins une tentative active d’attaques potentielles contre cette vulnérabilité », indique le bulletin de sécurité.

« Les clients sont fortement encouragés à mettre à jour vers les dernières versions dès que possible. »

La faille impacte les produits suivants :

  • Tendance Micro Apex One 2019
  • Trend Micro Apex One SaaS 2019
  • Worry-Free Business Security (WFBS) 10.0 SP1 (vendu sous le nom de Virus Buster Business Security (Biz) au Japon)
  • Worry-Free Business Security Services (WFBSS) 10.0 SP1 (vendu sous le nom de Virus Buster Business Security Services (VBBSS) au Japon)

Des correctifs ont été mis à disposition dans les versions suivantes :

  • Apex One 2019 Service Pack 1 – Patch 1 (Build 12380)
  • Apex One SaaS 14.0.12637
  • Patch WFBS 2495
  • Mise à jour WFBSS du 31 juillet

Un facteur atténuant est que pour exploiter CVE-2023-41179, l’attaquant doit avoir préalablement volé les informations d’identification de la console de gestion du produit et les avoir utilisées pour se connecter.

« L’exploitation de ce type de vulnérabilités nécessite généralement qu’un attaquant ait accès (physique ou distant) à une machine vulnérable », explique Trend Micro.

Le CERT japonais a également émis une alerte concernant l’exploitation active de la faille, exhortant les utilisateurs du logiciel concerné à passer à une version sécurisée dès que possible.

« Si la vulnérabilité est exploitée, un attaquant pouvant se connecter à la console d’administration du produit pourra exécuter du code arbitraire avec les privilèges système sur le PC sur lequel l’agent de sécurité est installé », explique JPCERT.

Une solution de contournement efficace consiste à limiter l’accès à la console d’administration du produit aux réseaux approuvés, bloquant ainsi les acteurs malveillants qui tentent d’accéder au point final à partir d’emplacements externes arbitraires.

Cependant, en fin de compte, les administrateurs doivent installer les mises à jour de sécurité pour empêcher les acteurs malveillants qui ont déjà violé un réseau d’utiliser la faille pour se propager latéralement à d’autres appareils.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *