脆弱性の影響を受ける製品/コンポーネント/ツール
| 該当する脆弱性 | 製品/コンポーネント/ツール | バージョン |
CVSS3.0
スコア | 深刻度 |
|---|---|---|---|---|
| CVE-2023-30902 | Apex One Apex One SaaS | All | 2.9 | 低 |
| CVE-2023-32552 | All | 6.5 | 中 | |
| CVE-2023-32553 | All | 6.5 | 中 | |
| CVE-2023-32554 | All | 7.8 | 高 | |
| CVE-2023-32555 | All | 7.8 | 高 | |
| CVE-2023-32556 | All | 5.5 | 中 | |
| CVE-2023-32557 | All | 9.8 | 緊急 |
脆弱性の概要
CVE-2023-30902: レジストリキーに対する権限昇格の脆弱性
CVSSv3: 2.9: AV:L/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
Apex One 及びApex OneSaaSのセキュリティエージェントにおいて、レジストリキーに対する権限昇格の脆弱性がることが確認されました。この脆弱性により、保護されているレジストリキーを含むトレンドマイクロの特権レジストリキーが削除される可能性があります。
CVE-2023-32552 及び 32553: 不適切なアクセス制御による情報開示の脆弱性
ZDI-CAN-18290, ZDI-CAN-17965
CVSSv3: 6.5: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
Apex One 及びApex OneSaaSの管理サーバにおいて、不適切なアクセス管理の脆弱性が確認されました。この脆弱性により、特定の状況下で認証されていないユーザがエージェントの一部情報を確認することができる可能性があります。
CVE-2023-32554 及び 32555: Time-of-check Time-of-use (TOCTOU) 競合によるローカル権限昇格の脆弱性
ZDI-CAN-19831, ZDI-CAN-19102
CVSSv3: 7.8: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Apex One 及びApex OneSaaSのセキュリティエージェントにおいて、Time-of-check Time-of-use (TOCTOU) 競合の脆弱性が確認されました。この脆弱性により、ローカルでの権限の昇格を行うことができる可能性があります。この脆弱性を悪用するには、攻撃者は低レベルでのコードの実行権限を保持している必要があります。
CVE-2023-32556: リンク解釈の問題による情報開示の脆弱性
ZDI-CAN-16525
CVSSv3: 5.5: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Apex One 及びApex OneSaaSのセキュリティエージェントにおいて、リンク解釈の脆弱性が確認されました。この脆弱性により、本来閲覧できない情報の一部情報を確認することができる可能性があります。この脆弱性を悪用するには、攻撃者は低レベルでのコードの実行権限を保持している必要があります。
CVE-2023-32557: パストラバーサルによるリモートコード実行の脆弱性
CVSSv3: 9.8: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Apex One 及びApex OneSaaSの管理サーバーにおいて、パストラバーサルの脆弱性が確認されました。この脆弱性により、認証されていないユーザが任意のファイルをアップロードすることで、システム権限でリモートコード実行を行うことができる可能性があります。
「修正」に記載されている内容は、掲載された脆弱性の対応に必要となる公表時点でのバージョン、ビルド番号です。より新しいバージョン、ビルドが公開されている場合は、最新のものを適用してください。CVSSv3: 2.9: AV:L/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
Apex One 及びApex OneSaaSのセキュリティエージェントにおいて、レジストリキーに対する権限昇格の脆弱性がることが確認されました。この脆弱性により、保護されているレジストリキーを含むトレンドマイクロの特権レジストリキーが削除される可能性があります。
CVE-2023-32552 及び 32553: 不適切なアクセス制御による情報開示の脆弱性
ZDI-CAN-18290, ZDI-CAN-17965
CVSSv3: 6.5: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
Apex One 及びApex OneSaaSの管理サーバにおいて、不適切なアクセス管理の脆弱性が確認されました。この脆弱性により、特定の状況下で認証されていないユーザがエージェントの一部情報を確認することができる可能性があります。
注意:CVE-2023-32552 及び 32553に対応するためのクライアント認証チェックサム機能を有効化するためには以下の手順を実施する必要があります。
- クライアント認証チェックサム機能を有効化出来る環境となっていることを確認します。
[Apex One]
管理サーバとすべての管理対象セキュリティエージェントが Critical Patch ビルド 12011 以降にアップデートされていることを確認します。
[Apex One SaaS]
すべての管理対象セキュリティエージェントがビルド 12000 以降 (2023年3月メンテナンス以降) にアップデートされていることを確認します。
- Apex One Webコンソールを開き、[エージェント]→[グローバルエージェント設定] 画面に移動します。
- [ネットワーク] タブをクリックします。
- [サーバとエージェントの通信] セクションに移動します。
- クライアント認証チェックサム機能の[変更] をクリックした後、 [バージョンの確認] ボタンをクリックします。
- [保存] をクリックします。
CVE-2023-32554 及び 32555: Time-of-check Time-of-use (TOCTOU) 競合によるローカル権限昇格の脆弱性
ZDI-CAN-19831, ZDI-CAN-19102
CVSSv3: 7.8: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Apex One 及びApex OneSaaSのセキュリティエージェントにおいて、Time-of-check Time-of-use (TOCTOU) 競合の脆弱性が確認されました。この脆弱性により、ローカルでの権限の昇格を行うことができる可能性があります。この脆弱性を悪用するには、攻撃者は低レベルでのコードの実行権限を保持している必要があります。
CVE-2023-32556: リンク解釈の問題による情報開示の脆弱性
ZDI-CAN-16525
CVSSv3: 5.5: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Apex One 及びApex OneSaaSのセキュリティエージェントにおいて、リンク解釈の脆弱性が確認されました。この脆弱性により、本来閲覧できない情報の一部情報を確認することができる可能性があります。この脆弱性を悪用するには、攻撃者は低レベルでのコードの実行権限を保持している必要があります。
CVE-2023-32557: パストラバーサルによるリモートコード実行の脆弱性
CVSSv3: 9.8: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Apex One 及びApex OneSaaSの管理サーバーにおいて、パストラバーサルの脆弱性が確認されました。この脆弱性により、認証されていないユーザが任意のファイルをアップロードすることで、システム権限でリモートコード実行を行うことができる可能性があります。
対処方法
| 製品/コンポーネント/ツール | バージョン | 修正 | Readme |
|---|---|---|---|
| Apex One | 2019 | CP 12024 | Readme |
| Apex One SaaS | - | 4月のメンテナンスで修正 (セキュリティエージェント build 14.0.12105) | Readme |
弊社では、広く最新の脅威に対応するために、常に最新のバージョンの製品をご利用いただくことを推奨しています。古いバージョンをお使いのお客様は新しいバージョンへのアップグレードをご検討ください。
軽減要素
この種の脆弱性を悪用するには、一般的に攻撃者が脆弱な端末にアクセスできることが必要です。 信頼されたネットワークからのみアクセスを許可することで、本脆弱性が利用される可能性を軽減することができます。トレンドマイクロは、お客様にできるだけ早く最新のビルドにアップデートすることをお勧めしています。
参照情報
- ZDI-CAN-18290
- ZDI-CAN-17965
- ZDI-CAN-19831
- ZDI-CAN-19102
- ZDI-CAN-16525
更新情報
- 2023年 5月17日 公開