Apex One Security Agent’ı etkileyen yedi kritik Trend Micro güvenlik açığının, Zero Day Initiative tarafından keşfedildi.
Trend Micro güvenlik açıkları birkaç güvenlik araştırmacısı tarafından keşfedildi ve rapor edildi, bu da şirketin sorunları çözmek için derhal harekete geçmesini sağladı.
Trend Micro güvenlik açıkları için yamalar 16 Mayıs’ta yayınlandı ve 17 Mayıs’ta güncellendi. Ancak şirket, The Cyber Express’in Trend Micro güvenlik açıklarından yararlanıldığı bildirilen sorgularına henüz yanıt vermedi.
Trend Micro güvenlik açıkları: Dikkat edilmesi gereken 7 kritik CVE!
Trend Micro güvenlik açıkları, dikkat edilmesi gereken yedi kritik CVE ile siber güvenlik hizmetinin muazzam popülaritesi nedeniyle acil bir endişe haline geldi:
CVE-2023-32554
ZDI-23-657 olarak tanımlanan ve CVE-2023-32554 olarak kaydedilen ilk güvenlik açığı, yerel saldırganların etkilenen Trend Micro Apex One Security Agent kurulumlarından yararlanmasına ve ayrıcalıklarını yükseltmesine izin veriyor.
Saldırganın bu saldırıyı gerçekleştirmesi için öncelikle hedeflenen sistemde düşük ayrıcalıklı kod çalıştırma yeteneği kazanması gerekir.
Güvenlik açığı, belirli işlemler sırasında uygun dosya kilitlemeden yoksun olan Apex One Client Plug-in Service Manager’da bulunmaktadır. Bir saldırgan, bu kusurdan yararlanarak ayrıcalıkları yükseltebilir ve SİSTEM bağlamında rasgele kod yürütebilir.
CVE-2023-32552
İkinci güvenlik açığı olan ZDI-23-655 (CVE-2023-32552), uzaktaki saldırganların savunmasız Trend Micro Apex One kurulumlarındaki hassas bilgilere erişmesini sağlar. Önceki güvenlik açığından farklı olarak, bu güvenlik açığı, istismar için kimlik doğrulaması gerektirmez.
Apex One’ın web konsolunda bulunur ve tipik olarak 4343 numaralı TCP bağlantı noktasını dinler. Güvenlik açığı, yetersiz erişim kontrol mekanizmalarından kaynaklanır ve saldırganların uygun yetkilendirme olmadan uygulamadan bilgi almasına olanak tanır.
CVE-2023-32530
Dış bulgulara ek olarak, güvenlik açığı raporu ayrıca ayrıca Apex Central ürünü ZDI-23-654’te (CVE-2023-32530) bir kusur keşfetti. Bu kusur, uzaktaki saldırganların etkilenen Apex Central kurulumlarında rasgele kod yürütmesine olanak tanır. Ancak, bu güvenlik açığından yararlanmak için kimlik doğrulaması hala gereklidir.
Güvenlik açığı, set_certificates_config isteklerinin modTMMS uç noktasına yanlış işlenmesinden kaynaklanır. dbCert parametresini işlerken yazılım, kullanıcı tarafından sağlanan bir dizeyi doğru şekilde doğrulayamaz ve bu da güvenli olmayan SQL sorgularının oluşturulmasına yol açar. Bu kusurdan yararlanan bir saldırgan, IUSR kullanıcısı bağlamında kod yürütebilir.
CVE-2023-32553
Apex One’ı etkileyen diğer bir güvenlik açığı olan ZDI-23-653 (CVE-2023-32553), uzaktaki saldırganların kimlik doğrulama gerektirmeden hassas bilgilere erişmesini sağlar.
İkinci güvenlik açığına benzer şekilde, bu güvenlik açığı web konsolunda yer alır ve hatalı erişim kontrol mekanizmalarından kaynaklanır. Bu güvenlik açığından yararlanmak, uygulamadaki bilgilerin izinsiz olarak ifşa edilmesine izin verir.
CVE-2023-32529
Trend Micro’nun merkezi yönetim çözümü Apex Central, ZDI-23-652 (CVE-2023-32529) olarak bilinen kritik bir kusura karşı da savunmasızdır. Bu kusur, uzaktaki saldırganların kimlik doğrulama ile rasgele kod yürütmesine olanak tanır.
Güvenlik açığı, modTMMS uç noktasına yönelik delete_cert_vec isteklerinin yanlış işlenmesinden kaynaklanmaktadır. Saldırgan, id parametresinin yetersiz doğrulamasından yararlanarak SQL sorgularını manipüle edebilir ve IUSR kullanıcısı bağlamında kod yürütebilir.
CVE-2023-32555
Trend Micro Apex One Security Agent Time-of-Check Kullanım Süresi Yerel Ayrıcalık Yükseltmesi, ZDI-23-656 (CVE-2023-32555) olarak tanımlanan başka bir kritik güvenlik açığı, Trend Micro’nun Apex One Security Agent yüklemelerini etkiliyor.
Yerel saldırganlar, sistem içindeki ayrıcalıklarını artırmak için bu güvenlik açığından yararlanabilir. Saldırganın saldırıyı gerçekleştirmesi için öncelikle hedef sistemde düşük ayrıcalıklı kod yürütme yeteneği kazanması gerekir.
Güvenlik açığı, özellikle dosya işlemleri sırasında yeterli kilitleme mekanizmalarının olmaması nedeniyle Apex One Client Plug-in Service Manager’daki bir kusurdan kaynaklanmaktadır.
CVE-2023-32556
Son olarak, keşfedilen son güvenlik açığı olan ZDI-23-651 (CVE-2023-32556), Apex One Security Agent’ı hedef alır ve yerel saldırganların hassas bilgilere erişmesini sağlar. Ancak, bu güvenlik açığından yararlanmak için hedef sistemde düşük ayrıcalıklı kod yürütme yeteneği gerekir.
Kusur, NT Apex One Gerçek Zamanlı Tarama Hizmeti içinde bulunur ve bir bağlama noktası oluşturularak kullanılabilir. Bu teknik sayesinde, bir saldırgan bir dosyanın içeriğini çıkarabilir ve SİSTEM bağlamındaki bilgileri ifşa edebilir.
Trend Micro güvenlik açıkları: Yama yönetimi
Bu Trend Micro güvenlik açıklarını derhal gidermek için şirket, kullanıcıların belirli Trend Micro güvenlik açıkları için düzeltmeler bulabileceği bazı hızlı güncellemeler yayınladı.
Trend Micro’nun yama yönetimiyle ilgili bir raporunda, “Kimlik Hırsızlığı Kaynak Merkezi’nin 2021 Yıllık Veri İhlali Raporuna göre, 2020’ye göre %68’den fazla artışla 1.862 onaylı güvenlik ihlali var” dedi.
“Bu ihlallerden 2022 Veri İhlali İnceleme Raporu, güvenlik açıklarından kaynaklananların geçen yıla göre iki kattan fazla artarak %7’ye ulaştığını belirledi.”
Trend Micro Apex, One ve Apex Central kullanıcılarının, sistemlerinin sürekli güvenliğini sağlamak için şirket tarafından sağlanan yamaları uygulamaları şiddetle tavsiye edilir.