Trend Micro предупредила клиентов о критической уязвимости в Apex One, которую уже используют в атаках. Речь идет о корпоративной платформе защиты конечных точек для Windows-сред, а проблема затрагивает только локальную версию продукта, установленную в компании.
Уязвимость получила номер CVE-2026-34926. По словам Trend Micro, атакующему нужен доступ к серверу Apex One и уже полученные права администратора, чтобы добраться до уязвимого механизма и внедрить вредоносный код.
Что произошло
Компания закрыла zero-day в Apex One и выпустила обновления безопасности. Trend Micro отдельно указала, что ее система TrendAI заметила как минимум одну попытку эксплуатации уязвимости в реальных атаках.
Такой сигнал особенно важен для корпоративных администраторов. Когда ошибка уже попала в активную фазу, счет идет не на недели, а на часы: злоумышленники быстро ищут незакрытые серверы и выстраивают цепочку дальнейшего проникновения в сеть.
Как это работает
Проблема связана с directory traversal — ошибкой, которая позволяет атакующему выйти за пределы ожидаемой директории и добраться до служебных файлов. В случае Apex One уязвимость дает локальному атакующему с админскими правами возможность изменить ключевую таблицу на сервере и подложить вредоносный код, который затем может уйти на подключенные агенты.
Trend Micro подчеркивает: речь идет только о версии on-premises. Иными словами, если продукт развернут внутри компании, а не как облачный сервис, риск выше именно для той инфраструктуры, которую администратор держит под своим контролем, но не всегда успевает обновлять вовремя.
Подобные истории уже не раз били по этому семейству продуктов. В августе 2025 года Trend Micro сообщала об еще одной активно эксплуатируемой ошибке в Apex One, а в 2022 и 2023 годах компания закрывала две уязвимости, которые тоже использовали в атаках. По данным CISA, сейчас под наблюдением находятся 12 уязвимостей Trend Micro Apex, которые уже применяли или продолжают применять злоумышленники.
Для понимания контекста достаточно вспомнить похожие инциденты в инфраструктурном ПО: когда атакуют не браузер и не мессенджер, а корпоративный защитный контур, ущерб может затронуть сразу весь парк машин. Ранее мы разбирали, как утечка секретов в CISA показала, как ломается защита, — уязвимости в административных системах часто открывают дорогу к гораздо более крупной проблеме.
Кого затронуло и какие последствия
Наиболее уязвимы компании, которые держат Apex One локально и не успели установить патч. Для них проблема не ограничивается одним сервером: через него можно попытаться развернуть вредоносный код на конечных устройствах сотрудников.
Ситуацию уже подхватила американская CISA. Агентство добавило CVE-2026-34926 в список активно эксплуатируемых уязвимостей и потребовало от федеральных ведомств закрыть дыру в течение трех недель. Такой срок показывает, насколько серьезно власти относятся к этому багу: если ошибка уже в работе у атакующих, промедление превращается в риск для всей сети.
Дополнительный удар — еще семь уязвимостей повышения привилегий в агенте Apex One Standard Endpoint Protection. Они тоже требуют обновления, если атакующий уже получил возможность запускать код с низкими правами на целевой машине. То есть даже одна слабая точка может стать входом для дальнейшего захвата инфраструктуры.
Что делать сейчас
Администраторам стоит в первую очередь проверить, где именно развернут Apex One, и убедиться, что все серверы и агенты получили свежие обновления. Если патч пока не поставлен, нужно сократить число пользователей с доступом к серверу, пересмотреть права администраторов и проверить журналы на странные действия.
Отдельно важно смотреть на устройства, которые работают из чужих или плохо контролируемых сетей. Для удаленных сотрудников и фрилансеров полезно добавить дополнительный слой защиты для рабочих подключений, особенно если они заходят в корпоративные системы из поездок, отелей или коворкингов.
Если вы не администратор, но работаете в компании с подобной защитой, задайте ИТ-службе прямой вопрос: когда последний раз обновляли систему безопасности на сервере, закрыты ли известные CVE и есть ли мониторинг попыток несанкционированного доступа. В таких инцидентах скорость реакции важнее, чем сложные отчеты.
Чек-лист для читателя
- Проверьте, использует ли компания локальную версию Apex One или другой серверный защитный продукт.
- Уточните, установлены ли свежие обновления безопасности на сервере и агентах.
- Ограничьте административный доступ только тем сотрудникам, которым он действительно нужен.
- Посмотрите журналы на попытки входа, изменения служебных таблиц и другие подозрительные действия.
- Попросите ИТ-команду подтвердить, что все известные CVE по продукту закрыты.
- Если сотрудники подключаются к рабочим системам из поездок или чужих сетей, используйте дополнительный защитный слой для соединения.
- Не откладывайте проверку: активная эксплуатация уязвимости обычно означает, что атаки уже идут.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.