Trend Micro の EE PolicyServer／Apex Central の深刻な脆弱性が FIX：RCE や認証バイパスの恐れ

Trend Micro fixes critical vulnerabilities in multiple products

2025/96/12 BleepingComputer — Trend Micro が公表したのは、Endpoint Encryption PolicyServer および Apex Central に影響を及ぼす、深刻度 Critical のリモート・コード実行および認証バイパスの脆弱性に対処する、セキュリティ・アップデートのリリースである。これらの脆弱性が、実際に悪用されたという証拠は確認されていないと、Trend Micro は強調しているが、セキュリティ・アップデートの速やかな適用と、リスクへの対処が推奨される。

Trend Micro Endpoint Encryption (TMEE) PolicyServer は、同社における集中管理サーバーであり、Windows ベースのエンドポイントに対して、フルディスク暗号化とリムーバブル・メディア暗号化を提供するものだ。この製品は、データ保護基準への準拠が不可欠な産業の、エンタープライズ環境で使用されている。

この最新アップデートで Trend Micro は、以下の深刻度の高い脆弱性に対処している。

CVE-2025-49212：PolicyValueTableSerializationBinder クラスにおける、安全が確保されないデシリアライゼーションに起因する、認証前のリモート・コード実行の脆弱性。この脆弱性を悪用するリモート攻撃者は、ログインを必要とせずに、SYSTEMと して任意のコードを実行できる。

CVE-2025-49213：PolicyServerWindowsService クラスにおける、認証前のリモート・コード実行の脆弱性。信頼できないデータのデシリアライズに起因するものであり、認証を必要としない攻撃者は、SYSTEM として任意のコードを実行できる。

CVE-2025-49216：DbAppDomain サービスにおける不適切な実装に起因する、認証バイパスの脆弱性。リモート攻撃者はログインを完全にバイパスし、資格情報を必要とすることなく、管理者レベルでの操作を実行できる。

CVE-2025-49217：ValidateToken メソッドにおける、安全が確保されないデシリアライズに起因する、認証前のリモート・コード実行の脆弱性。悪用の複雑度は高いが、未認証の攻撃者に対して、SYSTEM 権限でのコード実行を許す可能性がある。

Trend Micro Endpoint Encryption (TMEE) PolicyServer に関するセキュリティ情報では、上記の４つの脆弱性が Critical と記載されているが、ZDI のアドバイザリではCVE-2025-49217 が High レベルの脆弱性と評価されている。

今回の最新バージョンで修正された他の問題には、SQL インジェクションや権限昇格などの、４つの High レベルの脆弱性が含まれる。

これらの脆弱性は、すべてのバージョンに影響し、緩和策や回避策は存在しない。ただし、すでに Trend Micro は、バージョン 6.0.0.4013 (Patch 1 Update 6) をリリースし、これらすべての問題に対処している。

Trend Micro が修正した２つ目の問題は、組織全体のセキュリティエージェントを監視／設定／管理するために使用される、集中セキュリティ管理コンソール Apex Central に影響を及ぼすものだ。認証前のリモート・コード実行に関する、深刻な脆弱性が存在する。

CVE-2025-49219 (CVSS：9.8)：Apex Central の GetReportDetailView メソッドにおける、安全が確保されないデシリアライゼーションに起因する、認証前のリモート・コード実行の脆弱性。その悪用に成功した未認証の攻撃者は、ネットワーク・サービスのコンテキストでコード実行を達成する。

CVE-2025-49220 (CVSS：9.8)：Apex Central の ConvertFromJson メソッドに存在する、認証前のリモート・コード実行の脆弱性。デシリアライゼーション中の不適切な入力検証により、攻撃者は認証を必要とすることなく、任意のコードをリモートから実行できる。

これらの脆弱性は、Apex Central 2019 (オンプレミス) の、パッチ B7007 で修正されている。Apex Central as a Service では、バックエンドで自動的にパッチが適用されている。

認証不要で SYSTEM 権限の取得が可能になる、きわめて深刻な脆弱性が存在するようです。この種のセキュリティ。ツールにおける、安全が確保されないデシリアライゼーションは、攻撃者にとって格好の標的のようです。ご利用のチームは、ご注意ください。よろしければ、Trend Micro で検索も、ご参照ください。