พบช่องโหว่ประเภท Command Injection ระดับ Critical ซึ่งนำไปสู่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ใน Trend Micro Apex One Management Console ซึ่งพบว่าปัจจุบันกำลังถูกนำมาใช้ในการโจมตีจริง
บริษัทยืนยันว่า พบการพยายามโจมตีจริงอย่างน้อยหนึ่งครั้งแล้ว ซึ่งส่งผลให้บริษัทต้องรีบออก mitigation tools ฉุกเฉินทันที
ช่องโหว่ Command Injection RCE
พบช่องโหว่ Critical 2 รายการใน Trend Micro Apex One (on-premise) ซึ่งมีหมายเลข CVE-2025-54948 และ CVE-2025-54987
โดยช่องโหว่ทั้งสองรายการมีคะแนน CVSS 3.1 อยู่ที่ 9.4 ซึ่งจัดอยู่ในระดับความรุนแรง Critical โดยเป็นช่องโหว่ประเภท Command Injection ในหมวดหมู่ CWE-78: OS Command Injection ซึ่งอาจทำให้ผู้โจมตีจากภายนอกที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถอัปโหลดโค้ดอันตราย และรันคำสั่งบนระบบที่มีช่องโหว่ได้
ช่องโหว่นี้ส่งผลกระทบโดยตรงต่อ Trend Micro Apex One Management Server เวอร์ชัน 14039 และเวอร์ชันต่ำกว่าบนแพลตฟอร์ม Windows โดยเฉพาะ
CVE-2025-54987 ถือเป็นช่องโหว่ที่มีลักษณะสำคัญเช่นเดียวกับ CVE-2025-54948 แต่มุ่งเป้าไปยัง CPU architectures ที่แตกต่างกัน ทำให้เพิ่มขอบเขตในการโจมตีได้กว้างขึ้น
นักวิจัยด้านความปลอดภัยจากทีม Incident Response ของ Trend Micro และ Jacky Hsieh จาก CoreCloud Tech ซึ่งทำงานร่วมกับ Trend Zero Day Initiative ได้รับเครดิตว่าเป็นผู้เปิดเผยช่องโหว่ด้านความปลอดภัยเหล่านี้
ช่องทางการโจมตีต้องอาศัยการเข้าถึง Trend Micro Apex One Management Console ซึ่งหมายความว่าองค์กรที่เปิด IP Address ของ Console นี้จากอินเทอร์เน็ตจะมีความเสี่ยงเป็นพิเศษ
อย่างไรก็ตาม เนื่องจากช่องโหว่นี้เป็นแบบ pre-authentication หมายความว่าเมื่อผู้โจมตีเข้าถึงระบบได้ในครั้งแรก พวกเขาสามารถยกระดับสิทธิ์ และดำเนินการคำสั่งระดับ system-level ได้โดยไม่ต้องมีอุปสรรคจากการ authentication เพิ่มเติม
แนวทางการแก้ไข
Trend Micro ได้ออก fix tool ฉุกเฉินชื่อว่า FixTool_Aug2025.exe ที่มี hash SHA-256: c945a885a31679a913802a2aefde52b672bb2c8ac98bbed52b723e6733c0eadc เพื่อสามารถป้องกันการโจมตีจากช่องโหว่ทันที
การลดผลกระทบระยะสั้นนี้ จะป้องกันการโจมตีในปัจจุบันได้อย่างสมบูรณ์ แต่จะปิดการทำงานชั่วคราวของฟังก์ชัน Remote Install Agent ที่ใช้สำหรับติดตั้ง Agent ผ่าน Management Console
สำหรับองค์กรที่ใช้ Trend Micro Apex One as a Service และ Trend Vision One Endpoint Security จะได้รับการป้องกันโดยอัตโนมัติผ่านการอัปเดต backend mitigation ตั้งแต่วันที่ 31 กรกฎาคม 2025 โดยไม่ต้องหยุดระบบแต่อย่างใด
คาดว่าจะมีการเปิดตัว Critical Patch ฉบับสมบูรณ์ในช่วงกลางเดือนสิงหาคม 2025 ซึ่งจะทำให้ความสามารถของฟังก์ชัน Remote Install Agent กลับมาใช้งานได้เต็มรูปแบบ พร้อมกับยังคงรักษาการป้องกันด้านความปลอดภัยไว้
ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้องค์กรติดตั้ง fix tool ฉุกเฉินทันที โดยเฉพาะอย่างยิ่งหากองค์กรที่มี Console ที่เชื่อมต่อกับอินเทอร์เน็ต และแนะนำให้ทำ network segmentation และ access controls เป็นมาตรการป้องกันเพิ่มเติม
ที่มา : Cybersecuritynews
You must be logged in to post a comment.