【注意喚起】複数のトレンドマイクロ製企業向けエンドポイントセキュリティ製品の脆弱性に関する注意喚起

※情報が更新されている可能性がありますので、最新情報は以下を参照ください。
https://www.jpcert.or.jp/at/2021/at210033.html
引用元: JPCERTコーディネーションセンター 注意喚起

複数のトレンドマイクロ製企業向けエンドポイントセキュリティ製品の脆弱性に関する注意喚起がありました。

I. 概要
2021年7月29日、トレンドマイクロ株式会社は、複数の企業向けエンドポイントセキュリティ製品の脆弱性（CVE-2021-36741、CVE-2021-36742）に関する注意喚起を公開しました。

本脆弱性が悪用された場合、当該製品が稼働しているOSにログイン可能な第三者がSYSTEM権限を取得したり、当該製品にログイン可能な遠隔の第三者が、任意のファイルをアップロードしたりする可能性があります。
トレンドマイクロ株式会社によると、本脆弱性を悪用した攻撃を確認しているとのことです。

トレンドマイクロ株式会社
【注意喚起】弊社製品の脆弱性 (CVE-2021-36741,CVE-2021-36742) を悪用した攻撃を確認したことによる修正プログラム適用のお願い

すでに攻撃に悪用されていることから、該当する製品を利用している場合には、早期にパッチ適用等の対応を行うことを推奨します。詳細は、トレンドマイクロ株式会社が提供する情報を参照してください。

II. 対象
対象となる製品とバージョンは次のとおりです。

- Trend Micro Apex One 2019（Build 9565未満）
- Trend Micro Apex One SaaS（Build 202107未満）
- ウイルスバスターコーポレートエディション XG SP1（Build 6058未満）
- ウイルスバスタービジネスセキュリティ 10 SP1（Build 2329未満）

III. 対策
トレンドマイクロ株式会社から、本脆弱性を修正するパッチが提供されています。
対象の製品に対し適切なパッチを適用してください。

- Trend Micro Apex One 2019 Patch 5 B9565
- ウイルスバスターコーポレートエディション XG SP1 CriticalPatch B6058
- ウイルスバスタービジネスセキュリティ 10 SP1 Patch B2329

トレンドマイクロ株式会社によると、Trend Micro Apex One SaaSは2021年7月21日のメンテナンスで修正済みとのことです。

IV. 回避策
トレンドマイクロ株式会社から、本脆弱性に対する回避策が提示されています。
詳細は、トレンドマイクロ株式会社が提供する情報を参照してください。

- 当該製品へのアクセスを、信頼できるネットワークからのみに制限する

V. 参考情報
トレンドマイクロ株式会社
【注意喚起】弊社製品の脆弱性 (CVE-2021-36741,CVE-2021-36742) を悪用した攻撃を確認したことによる修正プログラム適用のお願いトレンドマイクロ株式会社

アラート/アドバイザリ：ウイルスバスター コーポレートエディション、Trend Micro Apex OneとTrend Micro Apex One SaaS の脆弱性について（2021年7月）

トレンドマイクロ株式会社
アラート/アドバイザリ：ウイルスバスター ビジネスセキュリティで確認された複数の脆弱性について（2021年7月）Japan Vulnerability Notes JVNVU#93876919

複数のトレンドマイクロ製企業向けエンドポイントセキュリティ製品における複数の脆弱性