Trend Micro устранила активно используемую киберпреступниками 0-day уязвимость в Apex One

Trend Micro устранила 5 уязвимостей в своем продукте Apex One – ключевом компоненте универсального пакета Smart Protection Complete, служащего для обеспечения безопасности почтовых, интернет-шлюзов и конечных устройств. Из исправленных брешей в защите продукта выделяется 0-day уязвимость под идентификатором CVE-2022-40139 (имеет оценку 7.2 из 10 по шкале CVSS 3.0), которая возникает из-за неправильной проверки компонентов, используемых функцией отката.

Чтобы воспользоваться уязвимостью, злоумышленник сначала должен получить данные администратора для авторизации, а затем воспользоваться консолью администрирования сервера Apex One. Только после этого хакер может добавить непроверенный компонент для функции отката и выполнить произвольный код на компьютере жертвы, загрузившей компонент.

Trend Micro сообщила, что ей известно об атаках с использованием CVE-2022-40139 и порекомендовала пользователям немедленно обновить ПО до последней версии. Ознакомиться с заявлением компании и списком исправленных уязвимостей можно здесь .