Security
Headlines
HeadlinesLatestCVEs

Headline

CVE-2022-40144: 「Trend Micro Apex One」および「Trend Micro Apex One SaaS」における複数の脆弱性について(JVN#36454862):IPA 独立行政法人 情報処理推進機構

A vulnerability in Trend Micro Apex One and Trend Micro Apex One as a Service could allow an attacker to bypass the product’s login authentication by falsifying request parameters on affected installations.

CVE
#vulnerability#web#auth

※最新情報は、JVN iPedia(JVN#36454862)をご覧ください。

概要

トレンドマイクロ株式会社が提供する「Trend Micro Apex One」および「Trend Micro Apex One SaaS」は、セキュリティ対策製品です。「Trend Micro Apex One」および「Trend Micro Apex One SaaS」には、次の複数の脆弱性が存在します。

  • ロールバック機能のコンポーネントにおける検証不備 (CWE-20) - CVE-2022-40139
  • 送信元検証エラー (CWE-284) - CVE-2022-40140
  • 情報漏えい (CWE-200) - CVE-2022-40141
  • ファイルアクセス時のリンク解釈が不適切 (CWE-59) - CVE-2022-40142
  • ファイルアクセス時のリンク解釈が不適切 (CWE-59) - CVE-2022-40143
  • 不適切な認証 (CWE-287) - CVE-2022-40144

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 当該製品の管理コンソールにログイン可能な第三者によって、任意のコードを実行される - CVE-2022-40139
  • 当該製品がインストールされたシステムにログイン可能な第三者によって、サービス運用妨害 (DoS) 攻撃を受ける - CVE-2022-40140
  • 遠隔の第三者が特定の通信を傍受・復号することによって、当該製品のサーバに関する情報の一部を窃取される - CVE-2022-40141
  • 当該製品がインストールされたシステムにログイン可能な第三者によって、管理者権限を取得される - CVE-2022-40142, CVE-2022-40143
  • 細工されたリクエストを送信されることによって、ログイン時の認証を回避される - CVE-2022-40144

この内 CVE-2022-40139 の脆弱性について、開発者によれば、本脆弱性を悪用した攻撃が確認されているため、できるだけ早急に、製品開発者が提供する情報をもとに、パッチを適用してください。

本脆弱性の深刻度

ロールバック機能のコンポーネントにおける検証不備 (CWE-20) - CVE-2022-40139

本脆弱性の深刻度

□ 注意

□ 警告

■ 重要

□ 緊急

本脆弱性のCVSS v3基本値

7.2

本脆弱性の深刻度

□ I(注意)

■ II(警告)

□ III(危険)

本脆弱性のCVSS v2基本値

6.5

送信元検証エラー (CWE-284) - CVE-2022-40140

本脆弱性の深刻度

□ 注意

■ 警告

□ 重要

□ 緊急

本脆弱性のCVSS v3基本値

5.5

本脆弱性の深刻度

□ I(注意)

■ II(警告)

□ III(危険)

本脆弱性のCVSS v2基本値

4.6

情報漏えい (CWE-200) - CVE-2022-40141

本脆弱性の深刻度

□ 注意

■ 警告

□ 重要

□ 緊急

本脆弱性のCVSS v3基本値

5.6

本脆弱性の深刻度

□ I(注意)

■ II(警告)

□ III(危険)

本脆弱性のCVSS v2基本値

5.1

ファイルアクセス時のリンク解釈が不適切 (CWE-59) - CVE-2022-40142

本脆弱性の深刻度

□ 注意

□ 警告

■ 重要

□ 緊急

本脆弱性のCVSS v3基本値

7.8

本脆弱性の深刻度

□ I(注意)

■ II(警告)

□ III(危険)

本脆弱性のCVSS v2基本値

6.8

ファイルアクセス時のリンク解釈が不適切 (CWE-59) - CVE-2022-40143

本脆弱性の深刻度

□ 注意

□ 警告

■ 重要

□ 緊急

本脆弱性のCVSS v3基本値

7.3

本脆弱性の深刻度

□ I(注意)

■ II(警告)

□ III(危険)

本脆弱性のCVSS v2基本値

6.6

不適切な認証 (CWE-287) - CVE-2022-40144

本脆弱性の深刻度

□ 注意

□ 警告

■ 重要

□ 緊急

本脆弱性のCVSS v3基本値

8.2

本脆弱性の深刻度

□ I(注意)

■ II(警告)

□ III(危険)

本脆弱性のCVSS v2基本値

6.4

対象

次の製品が対象です。

  • Trend Micro Apex One 2019
  • Trend Micro Apex One SaaS

対策

パッチを適用する

開発者が提供する情報をもとにパッチを適用してください。
開発者は本脆弱性の対策として次のパッチをリリースしています。* Trend Micro Apex One 2019 Service Pack 1 b11092

詳しくは、開発者が提供する下記サイトの情報をご確認ください。

  • 【注意喚起】Trend Micro Apex One / Trend Micro Apex One SaaS の複数の脆弱性および脆弱性を悪用した攻撃(CVE-2022-40139)を確認したことによる修正プログラム適用のお願いについて(2022年9月)
    https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=4553

ワークアラウンドを実施する

次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。* 当該製品へのアクセスを、信頼できるネットワークからのみに制限する

参考情報

  • Trend Micro Apex OneおよびTrend Micro Apex One SaaSの脆弱性に関する注意喚起
    https://www.jpcert.or.jp/at/2022/at220023.html

  • アラート/アドバイザリ:Trend Micro Apex One 及びTrend Micro Apex One SaaSで確認した複数の脆弱性について(2022年9月)
    https://success.trendmicro.com/jp/solution/000291471

  • 【注意喚起】Trend Micro Apex One / Trend Micro Apex One SaaS の複数の脆弱性および脆弱性を悪用した攻撃(CVE-2022-40139)を確認したことによる修正プログラム適用のお願いについて(2022年9月)
    https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=4553

  • 「情報セキュリティ早期警戒パートナーシップ」について
    この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。詳細は、下記の URL を参照ください
    https://www.ipa.go.jp/security/vuln/report/index.html

本件に関するお問い合わせ先

IPA セキュリティセンター

E-mail:

※個別製品の脆弱性情報の詳細につきましては、製品開発者にお問い合わせください。

更新履歴

Related news

CVE-2022-38108: Published | Zero Day Initiative

SolarWinds Platform was susceptible to the Deserialization of Untrusted Data. This vulnerability allows a remote adversary with Orion admin-level account access to SolarWinds Web Console to execute arbitrary commands.

CVE-2022-36957: Published | Zero Day Initiative

SolarWinds Platform was susceptible to the Deserialization of Untrusted Data. This vulnerability allows a remote adversary with Orion admin-level account access to SolarWinds Web Console to execute arbitrary commands.

CVE-2022-40139: DCX

Improper validation of some components used by the rollback mechanism in Trend Micro Apex One and Trend Micro Apex One as a Service clients could allow a Apex One server administrator to instruct affected clients to download an unverified rollback package, which could lead to remote code execution. Please note: an attacker must first obtain Apex One server administration console access in order to exploit this vulnerability.

CVE-2022-40140: ZDI-22-1189

An origin validation error vulnerability in Trend Micro Apex One and Apex One as a Service could allow a local attacker to cause a denial-of-service on affected installations. Please note: an attacker must first obtain the ability to execute low-privileged code on the target system in order to exploit this vulnerability.

CVE: Latest News

CVE-2023-50976: Transactions API Authorization by oleiman · Pull Request #14969 · redpanda-data/redpanda
CVE-2023-6905
CVE-2023-6903
CVE-2023-6904
CVE-2023-3907