Trend Micro đã phát hành các bản vá cho nhiều lỗ hổng CVE trong sản phẩm Apex One, với mức độ nghiêm trọng từ Cao đến Nghiêm trọng. Các lỗ hổng này bao gồm những vấn đề trong giao diện quản lý có thể dẫn đến thực thi mã từ xa (Remote Code Execution – RCE).

Chi tiết các Lỗ hổng CVE quan trọng

Các lỗ hổng được đánh số từ CVE-2025-71210 đến CVE-2025-71217. Điểm CVSS v3 của chúng dao động từ 7.2 đến 9.8, phản ánh mức độ rủi ro đáng kể đối với các hệ thống bị ảnh hưởng.

Lỗ hổng Thực thi Mã từ xa (RCE) qua Directory Traversal

Hai lỗ hổng nghiêm trọng, CVE-2025-71210 và CVE-2025-71211, được mô tả là các lỗ hổng RCE thông qua directory traversal (CWE-22) trong bảng điều khiển quản lý của Apex One.

Cụ thể, lỗ hổng directory traversal (điều hướng thư mục) cho phép kẻ tấn công vượt qua các cơ chế kiểm soát truy cập thư mục của ứng dụng. Trong trường hợp này, nó cho phép tải lên các tệp độc hại vào các vị trí không mong muốn trên máy chủ.

Khi các tệp độc hại này được tải lên thành công, kẻ tấn công có thể kích hoạt chúng để thực thi các lệnh tùy ý trên hệ thống bị ảnh hưởng.

Điều này dẫn đến khả năng chiếm quyền điều khiển hoàn toàn máy chủ Apex One, cho phép kẻ tấn công thực hiện nhiều hành vi độc hại, từ cài đặt mã độc đến truy cập dữ liệu nhạy cảm.

Các Lỗ hổng Nâng cao Đặc quyền Cục bộ (LPE)

Bản tư vấn cũng chi tiết các vấn đề nâng cao đặc quyền cục bộ (Local Privilege Escalation – LPE) ảnh hưởng đến các thành phần của Windows.

Các lỗ hổng này bao gồm link following (CWE-59) và origin validation errors (CWE-346).

• CWE-59 (Link Following): Xảy ra khi một ứng dụng tuân theo một liên kết tượng trưng (symbolic link) hoặc liên kết cứng (hard link) được tạo bởi kẻ tấn công. Điều này có thể khiến ứng dụng truy cập hoặc sửa đổi một tệp ngoài ý muốn với các đặc quyền cao hơn, dẫn đến leo thang đặc quyền.
• CWE-346 (Origin Validation Errors): Xảy ra khi một ứng dụng không xác thực đúng nguồn gốc của dữ liệu đến. Trong bối cảnh LPE, kẻ tấn công có thể thao túng dữ liệu đầu vào để vượt qua các kiểm soát bảo mật, buộc ứng dụng thực hiện các hành động với đặc quyền cao hơn.

Để khai thác các lỗ hổng LPE này, kẻ tấn công cần có khả năng thực thi mã với đặc quyền thấp trên điểm cuối mục tiêu. Sau đó, chúng có thể sử dụng LPE để leo thang đặc quyền lên mức cao hơn, chẳng hạn như quyền quản trị viên hoặc quyền hệ thống.

Sản phẩm Bị ảnh hưởng và Điều kiện Khai thác

Các dòng sản phẩm bị ảnh hưởng được liệt kê trong bản tư vấn tháng 2 năm 2026 bao gồm Apex One 2019 (on-prem) trên Windows và Apex One as a Service (Trend Vision One Endpoint – Standard Endpoint Protection) trên Windows.

Yêu cầu Truy cập Console Quản trị và Rủi ro

Trend Micro lưu ý rằng việc khai thác các lỗ hổng CVE RCE yêu cầu quyền truy cập vào bảng điều khiển quản lý của Apex One. Đây là một yếu tố giảm thiểu quan trọng, nhưng không phải là một giải pháp hoàn chỉnh.

Công ty cảnh báo rằng các địa chỉ IP của console bị phơi bày ra bên ngoài internet sẽ làm tăng đáng kể rủi ro bị tấn công.

Do đó, Trend Micro khuyến nghị áp dụng các hạn chế nguồn (source restrictions) cho quyền truy cập vào console quản lý nếu chúng chưa được thiết lập. Việc này giúp giảm thiểu bề mặt tấn công và hạn chế khả năng kẻ tấn công tiếp cận bảng điều khiển.

Hành động Khắc phục và Bản vá Bảo mật

Hướng dẫn khắc phục của Trend Micro chỉ ra rằng khách hàng cần cập nhật lên các phiên bản mới nhất hiện có. Điều này cần được thực hiện ngay cả khi các bản vá trước đó có thể đã xử lý một phần của vấn đề.

Đối với các tác nhân macOS, Trend Micro cung cấp các tham chiếu lỗ hổng CVE như thông tin bổ sung, nêu rõ rằng các vấn đề này đã được khắc phục sớm hơn thông qua các bản cập nhật ActiveUpdate/SaaS vào giữa đến cuối năm 2025.

Tầm quan trọng của Việc Cập nhật Bản vá Bảo mật

Việc áp dụng kịp thời các bản vá bảo mật là vô cùng quan trọng để bảo vệ hệ thống khỏi các mối đe dọa. Các bản vá này không chỉ sửa chữa các lỗ hổng đã biết mà còn thường xuyên cải thiện tính ổn định và hiệu suất của sản phẩm.

Để biết thêm thông tin chi tiết về các lỗ hổng liên quan đến Trend Micro Apex One và tầm quan trọng của việc vá lỗi, bạn có thể tham khảo cơ sở dữ liệu quốc gia về lỗ hổng tại NVD – CVE-2022-42489, một ví dụ về lỗ hổng remote code execution đã được phát hiện trong sản phẩm này.

Việc không cập nhật các bản vá bảo mật có thể khiến tổ chức dễ bị tổn thương trước các cuộc tấn công khai thác lỗ hổng CVE, dẫn đến mất dữ liệu, gián đoạn hoạt động và thiệt hại về danh tiếng.

Các tổ chức nên thiết lập một quy trình quản lý vá lỗi mạnh mẽ, bao gồm việc theo dõi các bản cập nhật từ nhà cung cấp, kiểm tra và triển khai các bản vá một cách có hệ thống.