Se han identificado múltiples vulnerabilidades críticas en la plataforma de seguridad Trend Micro Apex One que permiten la ejecución remota de código (RCE) y la elevación de privilegios. Lo más alarmante es que Trend Micro ha confirmado que ya se han observado intentos de explotación activa en el mundo real. Los atacantes podrían aprovechar estos fallos para eludir controles de seguridad, robar datos sensibles o comprometer totalmente el sistema operativo subyacente.be. Se recomienda la actualización inmediata a las versiones más recientes.
Veredicto Analítico
- Estado: Confirmado (Explotación activa detectada en el “wild”).
- Riesgo para SOC TDIR: Crítico. Un compromiso en la consola de gestión de seguridad permite al atacante “apagar las luces” de la defensa de la empresa, permitiendo el despliegue de malware sin detección.
- Urgencia operativa: Inmediata. La existencia de exploits activos requiere parcheo sin demora.
- Base del veredicto: Confirmación del fabricante sobre ataques en curso y la capacidad de ejecutar código bajo el usuario IUSR o elevar privilegios.
Hallazgos Clave
Vulnerabilidades de Inyección de Comandos (RCE)
- CVE-2025-54948 y CVE-2025-54987: Afectan a la consola de gestión de instalaciones on-premises. Su explotación permite la ejecución de código en el sistema operativo bajo el alcance del usuario IUSR. Esto puede derivar en la evasión de controles y robo de datos.
Vulnerabilidad de Salto de Ruta (Path Traversal)
- CVE-2026-34926: Se ha confirmado que esta vulnerabilidad de relative path traversal en TrendAI Apex One (On Premise) ya ha sido explotada en el mundo real. Un atacante autenticado podría manipular archivos arbitrarios en el servidor, permitiendo la distribución de código malicioso a los agentes de seguridad o la elevación de privilegios.
Otros Riesgos Identificados
- Se han listado otros identificadores de vulnerabilidades como CVE-2025-71210, CVE-2025-71211 y CVE-2025-71212, que, junto a los anteriores, contribuyen a un perfil de riesgo de ejecución remota y elevación de privilegios.
Análisis Técnico
- Componentes Afectados:
- Trend Micro Apex One – 2019 (On-prem).
- Trend Micro Apex One as a Service (SaaS).
- Trend Vision One Endpoint – Standard Endpoint Protection (SaaS).
- Vector de Ataque:
- Para la consola on-premises, el ataque se dirige a los puertos TCP 8080 y 4343 por defecto.
- La explotación puede ser remota y permitir la ejecución de código o la manipulación de archivos.
- Impacto: Afectación directa a la tríada de la seguridad: Confidencialidad, Integridad y Disponibilidad.
Recomendaciones Operativas
Para Administradores de Seguridad / IT (Acción Inmediata):
- Actualización Crítica: Descargar e instalar los parches de seguridad más recientes proporcionados por Trend Micro de forma inmediata.
- Revisión de Consola: Si utiliza la versión on-premises, verifique la configuración de los puertos 8080 y 4343 y asegure que solo el tráfico autorizado tenga acceso a la consola de gestión.
Para el SOC (Monitoreo y Detección):
- Monitoreo de la Consola de Gestión: Vigilar cualquier actividad inusual en la consola de Apex One, especialmente procesos sospechosos originados desde el servicio de la consola o bajo el usuario IUSR.
- Detección de Manipulación de Archivos: Implementar alertas para cambios no autorizados en los archivos del servidor de Trend Micro, lo que podría indicar una explotación de path traversal.
- Auditoría de Logs: Revisar logs de la consola buscando intentos de inyección de comandos o acceso desde IPs no habituales.
Para CTI (Inteligencia de Amenazas):
- Seguimiento de Exploits: Monitorear la evolución de los exploits para la serie de CVEs de 2025 y 2026 mencionados.
- Análisis de Campañas: Investigar si estos fallos están siendo utilizados por actores específicos para ataques dirigidos contra infraestructuras que dependen de Trend Micro.
