Бубен больше не помогает?
Image

Мы вскрываем схемы, пока их прячут

Чат для тех, кто чинит сети головой и руками. Реальный опыт, а не магия.

Права SYSTEM без пароля. В консоли Trend Micro нашли критическую дыру, позволяющую захватить сервер

Trend Micro SYSTEM Apex Central Windows уязвимость CVE-2025-69258
Права SYSTEM без пароля. В консоли Trend Micro нашли критическую дыру, позволяющую захватить сервер
Trend Micro SYSTEM Apex Central Windows уязвимость CVE-2025-69258

Критическая брешь в консоли Apex Central работает удалённо, без паролей и даже без участия админа.

image

Trend Micro закрыла критическую уязвимость в локальной (on-premise) версии Apex Central. Ошибка позволяла удалённому злоумышленнику выполнять произвольный код с правами SYSTEM — то есть на самом высоком уровне в Windows-среде.

Apex Central — это веб-консоль, через которую администраторы централизованно управляют сразу несколькими продуктами и сервисами Trend Micro. Платформа используется для администрирования антивирусной защиты, средств контент-фильтрации и детектирования угроз, а также для развёртывания компонентов вроде файлов сигнатур, сканирующих движков и антиспам-правил из единого интерфейса.

Уязвимость получила идентификатор CVE-2025-69258. По описанию Trend Micro, речь идёт о проблеме класса LoadLibraryEx: система могла загрузить DLL, которую контролирует атакующий. Если злоумышленник подсовывает такую библиотеку в нужный момент, она попадает в важный исполняемый файл, после чего запускается код нападающего — и сразу в контексте SYSTEM. Для атаки не нужны ни привилегии на целевой машине, ни взаимодействие пользователя.

Технические детали и доказательство концепции опубликовала компания Tenable — именно она и сообщила Trend Micro об уязвимости. По данным Tenable, удалённый атакующий без аутентификации может отправить специально сформированное сообщение процессу MsgReceiver.exe. Этот компонент слушает TCP-порт 20001, и обработка такого сообщения приводит к выполнению кода нападающего с правами SYSTEM.

Аналитики подчёркивают, что для реальной атаки должны совпасть определённые условия. В частности, заметную роль играет то, насколько уязвимая система вообще доступна извне, то есть открыта ли она для интернет-атак. Но даже с этими оговорками компания настаивает: обновление лучше не откладывать.

Помимо установки патча, советуют пересмотреть удалённый доступ к критически важным системам и убедиться, что политики и периметровая защита актуальны. При этом производитель отдельно оговаривает, что даже если эксплуатация требует выполнения ряда условий, переход на свежие сборки остаётся самым надёжным вариантом.

Исправление выпущено в составе Critical Patch Build 7190. Этот же пакет закрывает ещё 2 уязвимости, ведущие к отказу в обслуживании — CVE-2025-69259 и CVE-2025-69260. Их также можно было использовать удалённо и без аутентификации.

Для компании это уже не 1-я история с Apex Central, где речь заходит о удалённом выполнении кода. 3 года назад компания устраняла другую RCE-уязвимость в Apex Central — CVE-2022-26871 — и тогда предупреждала, что её уже используют в реальных атаках.