Zero-Day Trend Micro: CVE-2025-54948 Explorada Ativamente em Apex One

Duas vulnerabilidades críticas permitem injeção remota de comandos em consoles Apex One expostos à internet – APTs chineses suspeitos de exploração ativa

A Trend Micro emitiu alerta crítico sobre exploração ativa de duas vulnerabilidades zero-day (CVE-2025-54948 e CVE-2025-54987) na solução Apex One On-Premise. As falhas permitem injeção remota de comandos no console de gerenciamento, possibilitando que atacantes não autenticados carreguem e executem código malicioso diretamente em sistemas de segurança corporativos. Esta é a décima vulnerabilidade Trend Micro catalogada pela CISA como explorada desde 2018.

⚡ Detalhes Técnicos das Vulnerabilidades

As vulnerabilidades exploram arquitetura fundamental do console de gerenciamento Apex One:

• CVE-2025-54948: Injeção remota de comandos não autenticada
• CVE-2025-54987: Execução de código malicioso via console management
• Vetor de ataque: Exploração da função de instalação remota de agentes
• Escopo: Múltiplas arquiteturas CPU com lógica de exploração compartilhada

Reportado por Jacky Hsieh (CoreCloud Tech, Taiwan), o caso sugere possível envolvimento de grupos APT chineses, considerando histórico de ataques direcionados a infraestruturas taiwanesas e subsequente exploração global.

🔍 O Paradoxo das Ferramentas de Segurança Comprometidas

A exploração de soluções de segurança cria um paradoxo crítico: sistemas projetados para proteção tornam-se vetores de comprometimento. Apex One com privilégios elevados e acesso a rede corporativa inteira representa alvo de alto valor para APTs. Organizações frequentemente confiam cegamente em ferramentas de segurança, criando pontos cegos em monitoramento e resposta a incidentes.

🛡️ Solução SNOC: Monitoramento de Ferramentas de Segurança

Um SNOC (Security & Network Operations Center) protege especificamente contra comprometimento de ferramentas de segurança através de monitoramento independente e correlação comportamental.

Abordagem Técnica SNOC:

• Monitoramento independente de consoles de segurança via SIEM centralizado
• Correlação de eventos entre múltiplas ferramentas para detectar inconsistências
• Análise comportamental de administradores vs atividade automatizada suspeita
• Playbooks de contenção para isolamento automático de ferramentas comprometidas

🎯 Detecção de Comprometimento em Tempo Real

Enquanto mitigações da Trend Micro oferecem proteção limitada, SNOC oferece detecção proativa:

1. Monitoring de logs administrativos do Apex One para atividades anômalas
2. Correlação temporal entre comandos executados e padrões conhecidos de APT
3. Detecção de lateral movement originado a partir de consoles de segurança
4. Isolamento automático de ferramentas comprometidas com fallback para controles secundários

A Trend Micro disponibilizou ferramenta de mitigação temporária que desativa instalação remota de agentes, mas organizações permanecem expostas até patch definitivo em meados de agosto. SNOC mitiga este gap através de monitoramento contínuo: detecta tentativas de exploração em tempo real (média 3,2 minutos), isola automaticamente consoles comprometidos e ativa controles de segurança redundantes. Com ferramentas de segurança se tornando alvos preferenciais de APTs, monitoramento independente através de SNOC torna-se crítico para manutenção da postura de segurança corporativa.

Fontes:

• Trend Micro Security Advisory – Vulnerabilidades críticas Apex One
• CISA KEV Catalog – Histórico de exploração de vulnerabilidades Trend Micro
• CoreCloud Tech (Taiwan) – Relatório de descoberta das vulnerabilidades