SEK - Security Ecosystem Knowledge

NDV | EXTRAORDINÁRIA

Notificação de Vulnerabilidade Extraordinária
06 AGOSTO | 2025

NDV | EXTRAORDINARY

Extraordinary Vulnerability Notification
AUGUST 06 | 2025

NDV | EXTRAORDINARIA

Notificación de Vulnerabilidad Extraordinaria
06 AGOSTO | 2025

Contexto

Esta é uma Notificação de Vulnerabilidade Extraordinária (NDV) emitida em caráter de urgência pelo time de Inteligência de Ameaças Cibernéticas da SEK em 06 de agosto de 2025.

A Trend Micro confirmou a exploração ativa de duas vulnerabilidades críticas em seu Apex One, rastreadas como CVE-2025-54948 (CVSS 9.4) e CVE-2025-54987 (CVSS 9.4), que permitem execução remota de código através de injeção de comandos não autenticada no console de gerenciamento.

Estas vulnerabilidades representam um risco extremamente alto para organizações que utilizam Trend Micro Apex One on-premise, pois atacantes podem comprometer completamente os servidores de gerenciamento sem necessidade de autenticação prévia. A Trend Micro confirmou pelo menos uma tentativa de exploração ativa em ambiente real.

⚠️ AÇÃO IMEDIATA REQUERIDA: Ainda não há patch oficial disponível. A Trend Micro disponibilizou ferramenta de mitigação temporária FixTool_Aug2025.exe que deve ser aplicada imediatamente. Patch completo previsto para meados de agosto de 2025.

Trend Micro Apex One

CVE-2025-54948 & CVE-2025-54987
Injeção de Comandos Não Autenticada
CRÍTICA – CVSS 9.4

Descrição da vulnerabilidade

As falhas de segurança consistem em vulnerabilidades de injeção de comando não autenticadas no console de gerenciamento que permitem a atacantes remotos executar código arbitrário e carregar malware malicioso nos servidores afetados. Ambas as vulnerabilidades representam essencialmente a mesma falha, porém direcionadas a diferentes arquiteturas de CPU, expandindo a superfície de ataque. A exploração não requer autenticação prévia, permitindo que atacantes com acesso ao console de gerenciamento comprometam completamente as instalações vulneráveis.

Impacto Crítico: Atacantes não autenticados podem explorar estas vulnerabilidades para fazer upload de arquivos maliciosos e executar comandos arbitrários no console de gerenciamento, resultando em comprometimento total do servidor Apex One. Para esta vulnerabilidade específica, um atacante deve ter acesso ao Console de Gerenciamento do Trend Micro Apex One.

Produtos e versões afetadas

  • Trend Micro Apex One (on-premise) – 2019 Management Server Version 14039 e anteriores
  • Trend Micro Apex One as a Service – mitigação implementada em 31 de julho de 2025
  • Trend Vision One Endpoint Security - Standard Endpoint Protection – mitigação implementada em 31 de julho de 2025

Remediações de contorno

A Trend Micro disponibilizou a ferramenta de mitigação temporária FixTool_Aug2025.exe que oferece proteção completa contra exploits conhecidos. Esta solução desabilita temporariamente a funcionalidade Remote Install Agent, impedindo administradores de implementar agentes diretamente pelo console de gerenciamento. Métodos alternativos de instalação como caminho UNC ou pacotes de agente permanecem inalterados. Organizações com endereços IP do console expostos externamente devem implementar restrições de origem.

Solução

✅ Mitigação Temporária Disponível: Um Critical Patch completo está previsto para meados de agosto de 2025, que restaurará a funcionalidade Remote Install Agent desabilitada pela ferramenta de mitigação. Administradores devem aplicar imediatamente a ferramenta temporária e atualizar para a versão corrigida assim que disponível.

Fontes

Context

This is an Extraordinary Vulnerability Notification (NDV) issued as an urgent alert by SEK's Cyber Threat Intelligence team on August 06, 2025.

Trend Micro has confirmed active exploitation of two critical vulnerabilities in its Apex One, tracked as CVE-2025-54948 (CVSS 9.4) and CVE-2025-54987 (CVSS 9.4), that allow remote code execution through unauthenticated command injection in the management console.

These vulnerabilities represent an extremely high risk for organizations using Trend Micro Apex One on-premise, as attackers can completely compromise management servers without requiring prior authentication. Trend Micro has confirmed at least one active exploitation attempt in a real environment.

⚠️ IMMEDIATE ACTION REQUIRED: No official patch is available yet. Trend Micro has provided temporary mitigation tool FixTool_Aug2025.exe that must be applied immediately. Complete patch expected for mid-August 2025.

Trend Micro Apex One

CVE-2025-54948 & CVE-2025-54987
Unauthenticated Command Injection
CRITICAL – CVSS 9.4

Vulnerability description

The security flaws consist of unauthenticated command injection vulnerabilities in the management console that allow remote attackers to execute arbitrary code and upload malicious malware to affected servers. Both vulnerabilities represent essentially the same flaw but target different CPU architectures, expanding the attack surface. Exploitation does not require prior authentication, allowing attackers with access to the management console to completely compromise vulnerable installations.

Critical Impact: Unauthenticated attackers can exploit these vulnerabilities to upload malicious files and execute arbitrary commands on the management console, resulting in total compromise of the Apex One server. For this specific vulnerability, an attacker must have access to the Trend Micro Apex One Management Console.

Affected products and versions

  • Trend Micro Apex One (on-premise) – 2019 Management Server Version 14039 and earlier
  • Trend Micro Apex One as a Service – mitigation implemented on July 31, 2025
  • Trend Vision One Endpoint Security - Standard Endpoint Protection – mitigation implemented on July 31, 2025

Workaround remediations

Trend Micro has provided the temporary mitigation tool FixTool_Aug2025.exe that offers complete protection against known exploits. This solution temporarily disables the Remote Install Agent functionality, preventing administrators from deploying agents directly through the management console. Alternative installation methods such as UNC path or agent packages remain unaffected. Organizations with console IP addresses exposed externally should implement source restrictions.

Solution

✅ Temporary Mitigation Available: A complete Critical Patch is expected for mid-August 2025, which will restore the Remote Install Agent functionality disabled by the mitigation tool. Administrators should immediately apply the temporary tool and update to the patched version as soon as available.

Sources

Contexto

Esta es una Notificación de Vulnerabilidad Extraordinaria (NDV) emitida con carácter de urgencia por el equipo de Inteligencia de Amenazas Cibernéticas de SEK el 06 de agosto de 2025.

Trend Micro ha confirmado la explotación activa de dos vulnerabilidades críticas en su Apex One, rastreadas como CVE-2025-54948 (CVSS 9.4) y CVE-2025-54987 (CVSS 9.4), que permiten ejecución remota de código a través de inyección de comandos no autenticada en la consola de gestión.

Estas vulnerabilidades representan un riesgo extremadamente alto para organizaciones que utilizan Trend Micro Apex One on-premise, ya que los atacantes pueden comprometer completamente los servidores de gestión sin requerir autenticación previa. Trend Micro ha confirmado al menos un intento de explotación activa en un ambiente real.

⚠️ ACCIÓN INMEDIATA REQUERIDA: Aún no hay parche oficial disponible. Trend Micro ha proporcionado una herramienta de mitigación temporal FixTool_Aug2025.exe que debe aplicarse inmediatamente. Parche completo previsto para mediados de agosto de 2025.

Trend Micro Apex One

CVE-2025-54948 & CVE-2025-54987
Inyección de Comandos No Autenticada
CRÍTICA – CVSS 9.4

Descripción de la vulnerabilidad

Las fallas de seguridad consisten en vulnerabilidades de inyección de comandos no autenticadas en la consola de gestión que permiten a atacantes remotos ejecutar código arbitrario y cargar malware malicioso en los servidores afectados. Ambas vulnerabilidades representan esencialmente la misma falla pero dirigidas a diferentes arquitecturas de CPU, expandiendo la superficie de ataque. La explotación no requiere autenticación previa, permitiendo que atacantes con acceso a la consola de gestión comprometan completamente las instalaciones vulnerables.

Impacto Crítico: Los atacantes no autenticados pueden explotar estas vulnerabilidades para cargar archivos maliciosos y ejecutar comandos arbitrarios en la consola de gestión, resultando en compromiso total del servidor Apex One. Para esta vulnerabilidad específica, un atacante debe tener acceso a la Consola de Gestión de Trend Micro Apex One.

Productos y versiones afectadas

  • Trend Micro Apex One (on-premise) – 2019 Management Server Version 14039 y anteriores
  • Trend Micro Apex One as a Service – mitigación implementada el 31 de julio de 2025
  • Trend Vision One Endpoint Security - Standard Endpoint Protection – mitigación implementada el 31 de julio de 2025

Remediaciones alternativas

Trend Micro ha proporcionado la herramienta de mitigación temporal FixTool_Aug2025.exe que ofrece protección completa contra exploits conocidos. Esta solución deshabilita temporalmente la funcionalidad Remote Install Agent, impidiendo que los administradores desplieguen agentes directamente a través de la consola de gestión. Métodos alternativos de instalación como ruta UNC o paquetes de agente permanecen inalterados. Las organizaciones con direcciones IP de consola expuestas externamente deben implementar restricciones de origen.

Solución

✅ Mitigación Temporal Disponible: Un Critical Patch completo está previsto para mediados de agosto de 2025, el cual restaurará la funcionalidad Remote Install Agent deshabilitada por la herramienta de mitigación. Los administradores deben aplicar inmediatamente la herramienta temporal y actualizar a la versión corregida tan pronto como esté disponible.

Fuentes

Central de Conteúdos SEK

Acesse nossa central de conteúdos e confira os mais recentes relatórios e notícias sobre cibersegurança.

Acessar Central de Conteúdos