Lỗ hổng Zero-day của Trend Micro đang bị khai thác tích cực trên thực tế
Hai lỗ hổng chèn mã và thực thi mã từ xa (Command Injection & Remote Code Execution – RCE) vừa được phát hiện trong Management Console của phần mềm bảo mật Trend Micro Apex One. Theo các nhà nghiên cứu bảo mật, các lỗ hổng này đã và đang bị các nhóm tin tặc có tổ chức khai thác tích cực trong thực tế.
Thông tin lỗ hổng
Trend Micro Apex One là phần mềm bảo mật dành cho doanh nghiệp, giúp bảo vệ máy tính và máy chủ khỏi virus, mã độc và các cuộc tấn công mạng. Giải pháp này được nhiều tổ chức triển khai để giám sát và quản lý bảo mật tập trung thông qua Management Console – bảng điều khiển cho phép quản trị viên kiểm soát toàn bộ hệ thống. Mới đây, bảng điều khiển này được phát hiện tồn tại lỗ hổng nghiêm trọng có thể bị tin tặc khai thác để chiếm quyền điều khiển từ xa mà không cần đăng nhập.
Hai lỗ hổng được định danh là CVE‑2025‑54948 và CVE‑2025‑54987, thông tin chi tiết như sau:
Định danh lỗ hổng:
CVE-2025-54948Điểm CVSS(3.1): 9.4
Mức độ nghiêm trọng: Critical
Mô tả: Lỗ hổng trong Management Console của Trend Micro Apex One bản cài đặt tại chỗ (on‑premise) cho phép kẻ tấn công từ xa, không cần tài khoản đăng nhập hoặc mật khẩu (pre‑authenticated), tải lên mã độc và thực thi lệnh trên hệ thống bị ảnh hưởng.
Định danh lỗ hổng:
CVE-2025-54987Điểm CVSS(3.1): 9.4
Mức độ nghiêm trọng: Critical
Mô tả: Về bản chất tương tự CVE‑2025‑54948, nhưng nhắm tới kiến trúc CPU khác, mở rộng phạm vi tấn công sang nhiều loại hệ thống hơn.
Các lỗ hổng này ảnh hưởng đến Trend Micro Apex One Management Server phiên bản 14039 trở xuống trên nền tảng Windows.
Để khai thác, kẻ tấn công cần truy cập được Management Console. Do đó, các tổ chức để bảng điều khiển này lộ IP ra internet sẽ đặc biệt dễ trở thành mục tiêu. Đáng chú ý, tính chất pre‑authenticated của lỗ hổng cho phép tin tặc, sau khi có quyền truy cập ban đầu, leo thang đặc quyền và thực thi lệnh ở mức hệ thống mà không cần thêm bất kỳ bước xác thực nào khác.
Đội ngũ bảo mật của Trend Micro Incident Response Team cho biết, cả hai lỗ hổng này đã và đang bị các nhóm tin tặc có tổ chức khai thác tích cực, cho thấy tính cấp bách của việc áp dụng ngay bản vá hoặc biện pháp khắc phục tạm thời.
Khắc phục & Khuyến nghị
Trend Micro đã phát hành công cụ khắc phục khẩn cấp mang tên FixTool_Aug2025.exe (SHA‑256: c945a885a31679a913802a2aefde52b672bb2c8ac98bbed52b723e6733c0eadc) nhằm bảo vệ ngay lập tức trước các phương thức tấn công đã được biết. Giải pháp tạm thời này chặn hoàn toàn các kỹ thuật khai thác hiện tại, nhưng sẽ tạm thời vô hiệu hóa tính năng Remote Install Agent dùng để triển khai agent từ Management Console.
Các tổ chức sử dụng Trend Micro Apex One as a Service hoặc Trend Vision One Endpoint Security đã được tự động áp dụng biện pháp bảo vệ từ ngày 31/7/2025 thông qua hệ thống backend, không gây gián đoạn dịch vụ.
Bản vá toàn diện (Critical Patch) dự kiến sẽ được phát hành vào giữa tháng 8/2025, vừa khôi phục đầy đủ tính năng Remote Install Agent, vừa duy trì lớp bảo vệ an toàn.
Các chuyên gia bảo mật khuyến cáo:
Áp dụng ngay Fix Tool cho các hệ thống on‑premise, đặc biệt nếu Management Console đang để lộ IP ra internet.
Thực hiện phân đoạn mạng (network segmentation) và thiết lập kiểm soát truy cập để giảm thiểu rủi ro xâm nhập.
Giới hạn truy cập Management Console chỉ từ mạng nội bộ hoặc thông qua VPN an toàn.
