A Trend Micro emitiu um boletim de segurança urgente alertando os clientes sobre vulnerabilidades críticas de execução remota de código em seu console de gerenciamento local Apex One que estão sendo exploradas ativamente por invasores em estado selvagem.
A empresa de segurança cibernética divulgou dois injeção de comando falhas em 5 de agosto de 2025, ambas com uma pontuação CVSS máxima de 9,4, indicando a gravidade da ameaça às redes corporativas em todo o mundo.
Vulnerabilidades críticas sob ataque ativo
As falhas de segurança, rastreadas comoCVE-2025-54948eCVE-2025-54987, afetam o Trend Micro Apex One Management Console em execução em sistemas Windows.
Ambas as vulnerabilidades decorrem de fraquezas de injeção de comando que permitem que invasores remotos pré-autenticados carreguem código malicioso e executem comandos arbitrários nas instalações afetadas.
A empresa confirmou que pelo menos um caso de exploração ativa foi observado, elevando a urgência de medidas de proteção imediatas.
Essas vulnerabilidades visam especificamente o Trend Micro Apex One 2019 Management Server versão 14039 e inferior.
| CVE ID | Pontuação CVSS | Tipo de fraqueza | Referência ZDI | Vetor de ataque |
| CVE-2025-54948 | 9.4 (Crítico) | CWE-78: Injeção de comando do sistema operacional | ZDI-CAN-27834 | Baseado em rede, sem necessidade de autenticação |
| CVE-2025-54987 | 9.4 (Crítico) | CWE-78: Injeção de comando do sistema operacional | ZDI-CAN-27855 | Baseado em rede, arquitetura de CPU diferente |
O segundo CVE representa essencialmente a mesma vulnerabilidade, mas tem como alvo uma arquitetura de CPU diferente, expandindo a superfície de ataque potencial para agentes mal-intencionados que buscam comprometer a infraestrutura de segurança corporativa.
Reconhecendo a natureza crítica dessas falhas, a Trend Micro lançou uma ferramenta de mitigação de emergência chamada “FixTool_Aug2025” para fornecer proteção imediata contra explorações conhecidas.
No entanto, essa solução de curto prazo vem com uma compensação operacional significativa – ela desativa a função Agente de Instalação Remota, impedindo que os administradores implantem agentes diretamente do gestão consolar.
Métodos alternativos de implantação, como caminho UNC ou pacotes de agentes, permanecem inalterados.
A empresa enfatizou que, embora a ferramenta de correção forneça proteção total contra explorações conhecidas, um patch crítico abrangente é esperado em meados de agosto de 2025.
Essa atualização formal restaurará a funcionalidade desabilitada do Agente de Instalação Remota, mantendo as proteções de segurança.
As organizações que usam o Trend Micro Apex One as a Service e o Trend Vision One Endpoint Security receberam proteção automática por meio de mitigações de back-end implantadas em 31 de julho de 2025, sem tempo de inatividade do serviço.
No entanto, as instalações locais permanecem vulneráveis até que a ferramenta de mitigação seja aplicada.
As vulnerabilidades exigem que os invasores tenham acesso ao console de gerenciamento, tornando as organizações com endereços IP de console expostos externamente particularmente vulneráveis.
A Trend Micro aconselha fortemente a revisão das políticas de acesso remoto e a implementação de restrições de origem sempre que possível.
O descobrimento envolveu a colaboração entre a Equipe de Resposta a Incidentes da Trend Micro e o pesquisador de segurança externo Jacky Hsieh da CoreCloud Tech, trabalhando por meio da Trend Zero Day Initiative.
As organizações são incentivadas a aplicar a ferramenta de mitigação imediatamente enquanto aguardam o lançamento abrangente do patch.
The Ultimate SOC-as-a-Service Pricing Guide for 2025–Baixe de graça