トレンドマイクロ製企業向けセキュリティ製品に「緊急」の脆弱性 ～JVNが注意喚起

トレンドマイクロのサポートページ

　脆弱性ポータルサイト「JVN」は7月29日、トレンドマイクロ製企業向けエンドポイントセキュリティ製品に複数の脆弱性があると公表した。トレンドマイクロ社によると、脆弱性を悪用した攻撃がすでに確認されているとのこと。JVNは深刻度「緊急」と評価し、できるだけ早い対策を呼び掛けている。

　トレンドマイクロによると、対象となる製品とバージョンは以下の通り。

• Trend Micro Apex One 2019 Build 9565 未満
• Trend Micro Apex One SaaS Build 202107 未満
• ウイルスバスター コーポレートエディション XG Service Pack 1 Build 6058 未満
• ウイルスバスター ビジネスセキュリティ 10.0 Service Pack 1 Build 2329 未満

　悪用が確認されているのは、「CVE-2021-36741」と「CVE-2021-36742」を組み合わせた攻撃であるという（カッコ内はCVSS 3.0の基本値）。

• CVE-2021-36741：入力検証の不備により、遠隔から任意のファイルをアップロードされる可能性がある（7.1）
• CVE-2021-36742：入力検証の不備によるローカル権限昇格（7.8）

　外部から製品そのものが侵害されることはないが、別の方法で標的組織の内部ネットワークに侵入されてしまっている場合、管理サーバーへアクセス可能なクライアントの制御を奪われてしまう可能性があるため、被害の拡大が懸念される。

　対策としては、最新版への更新が有効。

• Apex One：Patch5（Build 9565）
• ウイルスバスター Corp. XG SP1：Critical Patch（Build 6058）
• ウイルスバスター ビジネスセキュリティ 10.0 SP1：Patch（Build 2329）
• Apex One SaaS：2021年7月のメンテナンスで対応済み

　そのほかにも、「ウイルスバスター ビジネスセキュリティ」以外では悪用が確認されていない脆弱性（CVE-2021-32464、CVE-2021-32465）も修正されている（「Apex One」は8月上旬に修正予定）ので、かならずパッチを適用しておきたい。