48 3052-8500

CVE-2025-54948 e CVE-2025-54987: falhas críticas no Trend Micro Apex One expostas a ataques ativos - OSTEC | Segurança digital de resultados

CVE 3min de Leitura - 18 de agosto de 2025

CVE-2025-54948 e CVE-2025-54987: falhas críticas no Trend Micro Apex One expostas a ataques ativos

CVE-2025-54948-CVE-2025-54987

This post is also available in: Português

Duas falhas críticas, registradas como CVE-2025-54948 e CVE-2025-54987, foram confirmadas no Trend Micro Apex One™ (on-premise). Ambas estão relacionadas a vulnerabilidades de injeção de comando do sistema operacional (OS Command Injection), exploráveis de forma remota e com potencial para execução arbitrária de código (RCE).

O CVSS atribuído é 9.8, classificando os riscos como críticos. Além da gravidade técnica, preocupa o fato de que já existem indícios de exploração ativa dessas falhas em ambientes reais.

Detalhes sobre a CVE-2025-54948 e CVE-2025-54987

As vulnerabilidades CVE-2025-54948 e CVE-2025-54987 são classificadas sob a CWE-78 – Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’). Esse tipo de falha ocorre quando a aplicação não valida ou sanitiza adequadamente entradas fornecidas pelo usuário antes de utilizá-las na construção de comandos do sistema operacional.

No caso do Trend Micro Apex One Management Console, o problema está no processamento incorreto de parâmetros enviados ao servidor, que acabam sendo interpretados como comandos legítimos pelo sistema operacional. Um atacante pode, por exemplo, incluir caracteres especiais e trechos de código malicioso em requisições que deveriam ser apenas de gerenciamento, levando o console a executar instruções arbitrárias.

A exploração é ainda mais perigosa porque não exige autenticação prévia. Isso significa que basta o console estar exposto em rede para que um invasor consiga enviar cargas maliciosas. Como o processo vulnerável é executado com privilégios elevados, os comandos injetados são processados com alto nível de permissão, possibilitando desde a criação de usuários administrativos até a instalação de backdoors persistentes.

O impacto final é a possibilidade de execução remota de código (RCE), comprometendo de forma completa a confidencialidade, a integridade e a disponibilidade do servidor que hospeda o console de gerenciamento.

Produtos afetados

O produto atingido é o Trend Micro Apex One on-premise para Windows, em versões do Management Console até a 14.0.0.14039.

Segundo comunicados da própria Trend Micro, as edições Apex One as a Service e Trend Vision One™ Endpoint Security – Standard Endpoint Protection também chegaram a ser impactadas, mas receberam mitigações emergenciais ainda em julho de 2025.

No caso do ambiente local, a situação exige atenção redobrada, principalmente em servidores que tenham o console exposto em portas como 8080 e 4343, comuns para acesso remoto. Essa superfície de ataque torna a exploração ainda mais viável para cibercriminosos.

A empresa

A Trend Micro é uma das maiores fornecedoras globais de soluções de cibersegurança, com forte presença no mercado corporativo. Seu portfólio abrange desde proteção de endpoints até plataformas integradas de segurança, sendo o Apex One um de seus carros-chefe para defesa de estações de trabalho em grandes ambientes.

Apesar da relevância da solução, não é a primeira vez que produtos da companhia são explorados em cenários críticos. Vulnerabilidades anteriores em consoles de gerenciamento da Trend Micro já chegaram a compor o catálogo de falhas conhecidas exploradas (KEV) da CISA, o que reforça a necessidade de agilidade na resposta e aplicação de correções.

Impacto e exploração no mundo real

As falhas têm impacto potencialmente devastador. Com a exploração bem-sucedida, um atacante pode instalar backdoors, criar contas privilegiadas, desativar agentes de segurança e até mesmo usar o servidor comprometido como pivô para movimentação lateral dentro da rede.

O que torna o cenário ainda mais alarmante é o fato de que pesquisadores e fornecedores de segurança já confirmaram tentativas de exploração ativa “in the wild”.

Organizações que mantêm consoles expostos diretamente à internet estão em maior risco, mas mesmo ambientes internos mal segmentados podem ser comprometidos rapidamente.

Mitigações e recomendações de segurança

Diante da gravidade, a Trend Micro lançou um conjunto de respostas emergenciais. Em 5 de agosto de 2025 foi liberado o FixTool_Aug2025, uma ferramenta temporária que bloqueia as técnicas de exploração conhecidas. No entanto, essa mitigação desabilita temporariamente a funcionalidade de Remote Install Agent, exigindo que a instalação de novos agentes seja feita por outros métodos, como via compartilhamento UNC.

Poucos dias depois, em 15 de agosto de 2025, a empresa publicou o patch permanente, restaurando as funcionalidades afetadas e corrigindo definitivamente as falhas. Esse patch deve ser aplicado com prioridade máxima, especialmente em ambientes que dependem de gerenciamento remoto.

Então, a primeira medida urgente é aplicar o FixTool ou o patch oficial, conforme o ambiente em uso. Em paralelo, recomenda-se restringir o acesso ao Management Console apenas a redes internas confiáveis ou por meio de VPNs seguras, evitando exposição direta à internet. A auditoria dos logs de acesso e o monitoramento das portas 8080 e 4343 também são fundamentais para identificar tentativas de exploração.

As organizações devem tratar essas falhas como incidentes críticos de segurança. A exploração ativa mostra que não se trata de um risco teórico, mas de uma ameaça concreta que já está sendo usada contra alvos reais. A agilidade em aplicar correções e reforçar os controles de acesso será determinante para mitigar possíveis danos.

This post is also available in: Português

CVE-2025-41236, CVE-2025-41237, CVE-2025-41238 e CVE-2025-41239: vulnerabilidades graves afetam principais plataformas de virtualização Broadcom/VMware

Postagem anterior