Admin
Администратор
Права SYSTEM без пароля. В консоли Trend Micro нашли критическую дыру, позволяющую захватить сервер.
Критическая брешь в консоли Apex Central работает удалённо, без паролей и даже без участия админа.
Trend Micro закрыла критическую уязвимость в локальной (on-premise) версии Apex Central. Ошибка позволяла удалённому злоумышленнику выполнять произвольный код с правами SYSTEM — то есть на самом высоком уровне в Windows-среде.
Apex Central — это веб-консоль, через которую администраторы централизованно управляют сразу несколькими продуктами и сервисами Trend Micro. Платформа используется для администрирования антивирусной защиты, средств контент-фильтрации и детектирования угроз, а также для развёртывания компонентов вроде файлов сигнатур, сканирующих движков и антиспам-правил из единого интерфейса.
Уязвимость получила идентификатор CVE-2025-69258. По описанию Trend Micro, речь идёт о проблеме класса LoadLibraryEx: система могла загрузить DLL, которую контролирует атакующий. Если злоумышленник подсовывает такую библиотеку в нужный момент, она попадает в важный исполняемый файл, после чего запускается код нападающего — и сразу в контексте SYSTEM. Для атаки не нужны ни привилегии на целевой машине, ни взаимодействие пользователя.
Технические детали и доказательство концепции опубликовала компания Tenable — именно она и сообщила Trend Micro об уязвимости. По данным Tenable, удалённый атакующий без аутентификации может отправить специально сформированное сообщение процессу MsgReceiver.exe. Этот компонент слушает TCP-порт 20001, и обработка такого сообщения приводит к выполнению кода нападающего с правами SYSTEM.
Аналитики подчёркивают, что для реальной атаки должны совпасть определённые условия. В частности, заметную роль играет то, насколько уязвимая система вообще доступна извне, то есть открыта ли она для интернет-атак. Но даже с этими оговорками компания настаивает: обновление лучше не откладывать.
Помимо установки патча, советуют пересмотреть удалённый доступ к критически важным системам и убедиться, что политики и периметровая защита актуальны. При этом производитель отдельно оговаривает, что даже если эксплуатация требует выполнения ряда условий, переход на свежие сборки остаётся самым надёжным вариантом.
Исправление выпущено в составе Critical Patch Build 7190. Этот же пакет закрывает ещё 2 уязвимости, ведущие к отказу в обслуживании — CVE-2025-69259 и CVE-2025-69260. Их также можно было использовать удалённо и без аутентификации.
Для компании это уже не 1-я история с Apex Central, где речь заходит о удалённом выполнении кода. 3 года назад компания устраняла другую RCE-уязвимость в Apex Central — CVE-2022-26871 — и тогда предупреждала, что её уже используют в реальных атаках.
