Trend Micro đã phát hành cảnh báo bảo mật khẩn cấp về các lỗ hổng CVE thực thi mã từ xa (remote code execution) nghiêm trọng trong bảng điều khiển quản lý Trend Micro Apex One triển khai tại chỗ (on-premise).

Những lỗ hổng CVE này đang bị kẻ tấn công khai thác tích cực trong thực tế.

Chi tiết các lỗ hổng thực thi mã từ xa

Công ty an ninh mạng đã công bố hai lỗ hổng chèn lệnh (command injection) vào ngày 5 tháng 8 năm 2025.

Cả hai đều mang điểm CVSS tối đa là 9.4, cho thấy mức độ nghiêm trọng của mối đe dọa từ các lỗ hổng CVE này đối với các mạng lưới doanh nghiệp trên toàn cầu.

Các lỗ hổng bảo mật này được theo dõi dưới mã định danh CVE-2025-54948 và CVE-2025-54987.

Chúng ảnh hưởng đến bảng điều khiển quản lý Trend Micro Apex One Management Console chạy trên hệ thống Windows.

Cơ chế khai thác lỗ hổng CVE

Cả hai lỗ hổng CVE đều bắt nguồn từ điểm yếu chèn lệnh.

Điều này cho phép kẻ tấn công từ xa không cần xác thực (pre-authenticated) tải lên mã độc hại và thực thi các lệnh tùy ý trên các cài đặt bị ảnh hưởng.

Trend Micro đã xác nhận rằng ít nhất một trường hợp khai thác tích cực các lỗ hổng CVE này đã được quan sát, nâng cao tính cấp bách của các biện pháp bảo vệ tức thì.

Các lỗ hổng CVE này nhắm mục tiêu cụ thể vào Trend Micro Apex One 2019 Management Server Version 14039 và các phiên bản cũ hơn.

CVE thứ hai về cơ bản là cùng một lỗ hổng nhưng nhắm mục tiêu vào kiến trúc CPU khác, mở rộng bề mặt tấn công tiềm năng cho các tác nhân độc hại tìm cách xâm phạm cơ sở hạ tầng an ninh doanh nghiệp.

Biện pháp khắc phục và bản vá bảo mật

Nhận thấy tính chất nghiêm trọng của các lỗ hổng CVE này, Trend Micro đã phát hành một công cụ giảm thiểu khẩn cấp có tên “FixTool_Aug2025”.

Công cụ này cung cấp khả năng bảo vệ tức thì chống lại các khai thác đã biết.

Giới hạn của công cụ giảm thiểu tạm thời

Tuy nhiên, giải pháp ngắn hạn này đi kèm với một đánh đổi đáng kể về mặt vận hành.

Nó vô hiệu hóa chức năng Remote Install Agent, ngăn quản trị viên triển khai các tác nhân (agents) trực tiếp từ bảng điều khiển quản lý.

Các phương pháp triển khai thay thế như đường dẫn UNC (UNC path) hoặc gói tác nhân (agent packages) vẫn không bị ảnh hưởng.

Lộ trình cập nhật bản vá bảo mật toàn diện

Trend Micro nhấn mạnh rằng mặc dù công cụ khắc phục cung cấp khả năng bảo vệ hoàn toàn chống lại các khai thác đã biết, một bản vá bảo mật toàn diện (Critical Patch) dự kiến sẽ được phát hành vào khoảng giữa tháng 8 năm 2025.

Bản cập nhật chính thức này sẽ khôi phục chức năng Remote Install Agent đã bị vô hiệu hóa trong khi vẫn duy trì các biện pháp bảo vệ an ninh.

Đối tượng bị ảnh hưởng và khuyến nghị

Các tổ chức sử dụng Trend Micro Apex One as a Service và Trend Vision One Endpoint Security đã nhận được sự bảo vệ tự động thông qua các biện pháp giảm thiểu phụ trợ được triển khai vào ngày 31 tháng 7 năm 2025, mà không gây gián đoạn dịch vụ.

Tuy nhiên, các cài đặt triển khai tại chỗ (on-premise installations) vẫn dễ bị tổn thương cho đến khi công cụ giảm thiểu được áp dụng.

Các lỗ hổng CVE này yêu cầu kẻ tấn công phải có quyền truy cập vào bảng điều khiển quản lý.

Điều này làm cho các tổ chức có địa chỉ IP của bảng điều khiển bị phơi bày ra bên ngoài đặc biệt dễ bị tấn công bởi những lỗ hổng CVE này.

Trend Micro khuyến cáo mạnh mẽ việc xem xét các chính sách truy cập từ xa và triển khai các hạn chế nguồn (source restrictions) nếu có thể.

Việc phát hiện các lỗ hổng này có sự hợp tác giữa Nhóm Ứng phó Sự cố của Trend Micro và nhà nghiên cứu bảo mật bên ngoài Jacky Hsieh từ CoreCloud Tech, thông qua sáng kiến Trend Zero Day Initiative.

Các tổ chức được khuyến khích áp dụng ngay công cụ giảm thiểu trong khi chờ đợi bản phát hành bản vá bảo mật toàn diện.