Уязвимость в Trend Micro Apex One эксплуатируется в реальных атаках

В системе защиты конечных точек Trend Micro Apex One была выявлена критическая уязвимость, которая уже находит применение в реальных атаках. Платформа Apex One, использующая сочетание антивирусных модулей, поведенческого анализа, алгоритмов машинного обучения и функционала EDR/XDR, предназначена для обеспечения безопасности корпоративной инфраструктуры от широкого спектра угроз, включая бесфайловые атаки и программы-вымогатели.

Механика уязвимости и векторы эксплуатации

Проблема кроется в уязвимости типа directory traversal («обход пути»), затрагивающей локальную (on-premise) версию сервера Apex One. Согласно техническому описанию в базе NVD, баг позволяет атакующему, уже обладающему административными привилегиями в системе, модифицировать ключевую таблицу на сервере. Проще говоря, это дает возможность внедрить вредоносный код, который затем автоматически распространяется на клиентские агенты в рамках всей инсталлированной сети.

На практике это означает, что злоумышленник не может скомпрометировать систему «с нуля» — эксплуатация требует предварительной авторизации и наличия прав локального администратора, полученных сторонними методами. Уязвимости присвоен идентификатор CVE-2026-34926, а ее оценка по шкале CVSS составляет 6.7 балла из 10, что классифицирует угрозу как среднюю по уровню опасности.

Реакция регулятора и требования к безопасности

Несмотря на формально «средний» статус, вендор зафиксировал как минимум одну подтвержденную попытку эксплуатации данной уязвимости. Подобная активность привлекла внимание Агентства по кибербезопасности и защите инфраструктуры США (CISA), которое оперативно внесло инцидент в реестр эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV).

Если коротко: государственным ведомствам гражданского сектора (FCEB) предписано устранить проблему до 4 июня. В противном случае агентства обязаны полностью прекратить использование Apex One. Представители CISA классифицируют подобные уязвимости как типовые векторы атак, несущие серьезные риски для федеральных информационных систем, и настаивают на безотлагательном выполнении инструкций разработчика по обновлению ПО.