JVN#36454862: Trend Micro Apex One および Trend Micro Apex One SaaS における複数の脆弱性

トレンドマイクロ株式会社が提供する Trend Micro Apex One および Trend Micro Apex One SaaS には、複数の脆弱性が存在します。

Trend Micro Apex One 2019
Trend Micro Apex One SaaS

トレンドマイクロ株式会社が提供する Trend Micro Apex One および Trend Micro Apex One SaaS には、次の複数の脆弱性が存在します。

ロールバック機能のコンポーネントにおける検証不備 (CWE-20) - CVE-2022-40139

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値: 7.2

CVSS v2 AV:N/AC:L/Au:S/C:P/I:P/A:P 基本値: 6.5
送信元検証エラー (CWE-284) - CVE-2022-40140

CVSS v3 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H 基本値: 5.5

CVSS v2 AV:L/AC:L/Au:S/C:N/I:N/A:C 基本値: 4.6
情報漏えい (CWE-200) - CVE-2022-40141

CVSS v3 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L 基本値: 5.6

CVSS v2 AV:N/AC:H/Au:N/C:P/I:P/A:P 基本値: 5.1
ファイルアクセス時のリンク解釈が不適切 (CWE-59) - CVE-2022-40142

CVSS v3 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 7.8

CVSS v2 AV:L/AC:L/Au:S/C:C/I:C/A:C 基本値: 6.8
ファイルアクセス時のリンク解釈が不適切 (CWE-59) - CVE-2022-40143

CVSS v3 CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H 基本値: 7.3

CVSS v2 AV:L/AC:M/Au:S/C:C/I:C/A:C 基本値: 6.6
不適切な認証 (CWE-287) - CVE-2022-40144

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:H 基本値: 8.2

CVSS v2 AV:N/AC:L/Au:N/C:P/I:N/A:P 基本値: 6.4

なお、開発者によると、CVE-2022-40139 については、本脆弱性を悪用する攻撃が既に確認されているとのことです。

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

当該製品の管理コンソールにログイン可能な第三者によって、任意のコードを実行される - CVE-2022-40139
当該製品がインストールされたシステムにログイン可能な第三者によって、サービス運用妨害 (DoS) 攻撃を受ける - CVE-2022-40140
遠隔の第三者が特定の通信を傍受・復号することによって、当該製品のサーバに関する情報の一部を窃取される - CVE-2022-40141
当該製品がインストールされたシステムにログイン可能な第三者によって、管理者権限を取得される - CVE-2022-40142, CVE-2022-40143
細工されたリクエストを送信されることによって、ログイン時の認証を回避される - CVE-2022-40144

パッチを適用する
開発者が提供する情報をもとにパッチを適用してください。
開発者は本脆弱性の対策として次のパッチをリリースしています。

Trend Micro Apex One 2019 Service Pack 1 b11092

開発者によると、Trend Micro Apex One SaaS は 2022年 8月のメンテナンスで修正済みとのことです。

ワークアラウンドを実施する
次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

当該製品へのアクセスを、信頼できるネットワークからのみに制限する

ベンダ	リンク
トレンドマイクロ株式会社	アラート/アドバイザリ：Trend Micro Apex One 及びTrend Micro Apex One SaaSで確認した複数の脆弱性について（2022年9月）
	【注意喚起】Trend Micro Apex One / Trend Micro Apex One SaaS の複数の脆弱性および脆弱性を悪用した攻撃(CVE-2022-40139)を確認したことによる修正プログラム適用のお願いについて（2022年9月）

情報処理推進機構 (IPA)
「Trend Micro Apex One」および「Trend Micro Apex One SaaS」における複数の脆弱性について（JVN#36454862）

CVE-2022-40139, CVE-2022-40140, CVE-2022-40141, CVE-2022-40142, CVE-2022-40143
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

CVE-2022-40144
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 株式会社サイバーディフェンス研究所竹内亮斤氏

JPCERT 緊急報告	JPCERT-AT-2022-0023 Trend Micro Apex OneおよびTrend Micro Apex One SaaSの脆弱性に関する注意喚起
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE	CVE-2022-40139
	CVE-2022-40140
	CVE-2022-40141
	CVE-2022-40142
	CVE-2022-40143
	CVE-2022-40144
JVN iPedia	JVNDB-2022-000071

2022/09/13: [参考情報] および [関連文書] を更新しました

CVSS v3	CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H	基本値: 7.2
CVSS v2	AV:N/AC:L/Au:S/C:P/I:P/A:P	基本値: 6.5

CVSS v3	CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H	基本値: 5.5
CVSS v2	AV:L/AC:L/Au:S/C:N/I:N/A:C	基本値: 4.6

CVSS v3	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L	基本値: 5.6
CVSS v2	AV:N/AC:H/Au:N/C:P/I:P/A:P	基本値: 5.1

CVSS v3	CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H	基本値: 7.8
CVSS v2	AV:L/AC:L/Au:S/C:C/I:C/A:C	基本値: 6.8

CVSS v3	CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H	基本値: 7.3
CVSS v2	AV:L/AC:M/Au:S/C:C/I:C/A:C	基本値: 6.6

CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:H	基本値: 8.2
CVSS v2	AV:N/AC:L/Au:N/C:P/I:N/A:P	基本値: 6.4

JVN#36454862 Trend Micro Apex One および Trend Micro Apex One SaaS における複数の脆弱性 緊急

JVN#36454862
Trend Micro Apex One および Trend Micro Apex One SaaS における複数の脆弱性
緊急