ISGroup Conseil en Cybersécurité

CVE-2025-54948 – Injection de commandes à distance – Console de gestion Trend Micro Apex One

La console de gestion de Trend Micro Apex One (sur site) est une plateforme centralisée utilisée par les entreprises pour gérer les politiques de sécurité des terminaux, les mises à jour et la surveillance.
CVE-2025-54948 est une vulnérabilité d’injection de commande à distance non authentifiée dans la console de gestion d’Apex One. Un attaquant présent sur le réseau peut exécuter des commandes arbitraires du système d’exploitation sans authentification en envoyant des requêtes spécialement conçues.
La vulnérabilité affecte les versions 14039 et antérieures du serveur de gestion Apex One (sur site) et est activement exploitée dans des environnements réels.

Date13/08/2025 10:31:03
Informations
  • Exploitation active

Résumé technique

La vulnérabilité est causée par une validation insuffisante des entrées fournies par l’utilisateur dans un composant exposé au Web de la console de gestion Apex One.
En créant une requête HTTP malveillante, un attaquant non authentifié peut injecter des commandes système que le serveur exécute avec les privilèges du processus de l’application Web, ce qui peut conduire à une compromission complète du serveur de gestion.

Cette vulnérabilité peut être exploitée à distance via le réseau, sans authentification et sans interaction de l’utilisateur.

Étant donné que la console de gestion Apex One est généralement connectée à de nombreux terminaux gérés, une attaque réussie peut fournir aux attaquants un point d’entrée pour déployer des charges utiles malveillantes ou reconfigurer les politiques de sécurité sur les appareils de toute l’organisation.
CVE-2025-54948 est étroitement liée à CVE-2025-54987, qui cible la même vulnérabilité sur une architecture CPU différente.

Recommandations

  1. Appliquer la mesure d’atténuation temporaire : Déployer immédiatement l’outil d’atténuation fourni par Trend Micro dans leur avis.
  2. Planifier la mise à jour complète : Mettre à jour vers la version corrigée dès qu’elle sera disponible (prévue pour la mi-août 2025).
  3. Restreindre l’accès réseau : Limiter l’accès à l’interface de la console de gestion Apex One aux réseaux de confiance ou aux connexions VPN.
  4. Surveiller les journaux : Vérifier les journaux du serveur et du Web à la recherche de requêtes suspectes pouvant indiquer des tentatives d’exploitation.
  5. Isoler et enquêter : En cas de suspicion d’exploitation, isoler le serveur concerné et effectuer une analyse forensique avant de le remettre en production.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *