Multiples vulnérabilités dans Trend Micro Apex One

Date de publication :

« Agent Grouping » est une option développée par Trend Micro facilitant la mise en place des politiques de Groupes.

CVE-2022-41746[Score CVSS v3.1: 9.1] (critique)
Une vulnérabilité du type « forced browsing » permet à un attaquant, ayant accès à la console Apex One, d’élever ses privilèges et de modifier les « Agent Grouping ».

CVE-2022-41744[Score CVSS v3.1:7.8]
Le composant Vulnerability Protection de Apex One est vulnérable à une attaque du type Time-of-Check Time-of-Use permettant à un attaquant local, en exécutant un programme spécifiquement forgé, d’élever ses privilèges et de transformer un répertoire de travail en point de montage.

CVE-2022-41747[Score CVSS v3.1:7.8]
Une vérification insuffisante de certificats dans Apex One agents permet à un attaquant, en exécutant un programme spécifiquement forgé, de charger un fichier DLL avec les privilèges « services » du système.

CVE-2022-41749[Score CVSS v3.1:7.8]
Une erreur de validation de l’origine dans Apex One agents permet à un attaquant, en exécutant un programme spécifiquement forgé, d’élever ses privilèges.

CVE-2022-41745[Score CVSS v3.1:7.0]
Une erreur de libération de mémoire dans Apex One permet à un attaquant, en envoyant une requête spécifiquement forgée, de corrompre la mémoire pouvant mener à une élévation de privilèges.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Élévation de privilèges
  • Modification de droits
  • Atteinte à l’intégrité et à la confidentialité

Criticité

  • Score CVSS v3.1: 9.1 max

La faille est activement exploitée

  • Non, pour l’ensemble des CVE présentées.

Un correctif existe

  • Oui, pour l’ensemble des CVE présentées.

Une mesure de contournement existe

  • Non, pour l’ensemble des CVE présentées.

La vulnérabilité exploitée est du type

  • Pour l’ensemble des CVE présentées

En cours de Recherche

Détails sur l’exploitation

Pour la CVE-2022-41746

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur privilégié.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.

Pour la CVE-2022-41744, CVE-2022-41747 et CVE-2022-41749

  • Vecteur d’attaque : Local.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.

Pour la CVE-2022-41745

  • Vecteur d’attaque : Local.
  • Complexité de l’attaque : Élevée.
  • Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.

Composants vulnérables

Pour l’ensemble des CVE présentées

  • Apex One 2019 (on-prem)
  • Apex One SaaS

Solutions ou recommandations

Pour l’ensemble des CVE présentées

  • Mettre à jour Apex One (on-prem) vers la version CP 11110/11102 ou une version supérieure.
  • Pour Apex One (SaaS), appliquer le patch de septembre 2022 (Version Agent : 14.0.11734)
  • Plus d’informations disponibles ici.

Liens