HOME情報セキュリティ「Trend Micro Apex One」および「Trend Micro Apex One SaaS」における複数の脆弱性について(JVN#36454862)

本文を印刷する

情報セキュリティ

「Trend Micro Apex One」および「Trend Micro Apex One SaaS」における複数の脆弱性について(JVN#36454862)

最終更新日:2022年9月13日

※最新情報は、JVN iPedia(JVN#36454862)をご覧ください。

概要

トレンドマイクロ株式会社が提供する「Trend Micro Apex One」および「Trend Micro Apex One SaaS」は、セキュリティ対策製品です。「Trend Micro Apex One」および「Trend Micro Apex One SaaS」には、次の複数の脆弱性が存在します。
  • ロールバック機能のコンポーネントにおける検証不備 (CWE-20) - CVE-2022-40139
  • 送信元検証エラー (CWE-284) - CVE-2022-40140
  • 情報漏えい (CWE-200) - CVE-2022-40141
  • ファイルアクセス時のリンク解釈が不適切 (CWE-59) - CVE-2022-40142
  • ファイルアクセス時のリンク解釈が不適切 (CWE-59) - CVE-2022-40143
  • 不適切な認証 (CWE-287) - CVE-2022-40144

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
  • 当該製品の管理コンソールにログイン可能な第三者によって、任意のコードを実行される - CVE-2022-40139
  • 当該製品がインストールされたシステムにログイン可能な第三者によって、サービス運用妨害 (DoS) 攻撃を受ける - CVE-2022-40140
  • 遠隔の第三者が特定の通信を傍受・復号することによって、当該製品のサーバに関する情報の一部を窃取される - CVE-2022-40141
  • 当該製品がインストールされたシステムにログイン可能な第三者によって、管理者権限を取得される - CVE-2022-40142, CVE-2022-40143
  • 細工されたリクエストを送信されることによって、ログイン時の認証を回避される - CVE-2022-40144

この内 CVE-2022-40139 の脆弱性について、開発者によれば、本脆弱性を悪用した攻撃が確認されているため、できるだけ早急に、製品開発者が提供する情報をもとに、パッチを適用してください。

本脆弱性の深刻度

ロールバック機能のコンポーネントにおける検証不備 (CWE-20) - CVE-2022-40139
本脆弱性の深刻度 □ 注意 □ 警告 ■ 重要 □ 緊急
本脆弱性のCVSS v3基本値 7.2
本脆弱性の深刻度 □ I(注意) ■ II(警告) □ III(危険)
本脆弱性のCVSS v2基本値 6.5
送信元検証エラー (CWE-284) - CVE-2022-40140
本脆弱性の深刻度 □ 注意 ■ 警告 □ 重要 □ 緊急
本脆弱性のCVSS v3基本値 5.5
本脆弱性の深刻度 □ I(注意) ■ II(警告) □ III(危険)
本脆弱性のCVSS v2基本値 4.6
情報漏えい (CWE-200) - CVE-2022-40141
本脆弱性の深刻度 □ 注意 ■ 警告 □ 重要 □ 緊急
本脆弱性のCVSS v3基本値 5.6
本脆弱性の深刻度 □ I(注意) ■ II(警告) □ III(危険)
本脆弱性のCVSS v2基本値 5.1
ファイルアクセス時のリンク解釈が不適切 (CWE-59) - CVE-2022-40142
本脆弱性の深刻度 □ 注意 □ 警告 ■ 重要 □ 緊急
本脆弱性のCVSS v3基本値 7.8
本脆弱性の深刻度 □ I(注意) ■ II(警告) □ III(危険)
本脆弱性のCVSS v2基本値 6.8
ファイルアクセス時のリンク解釈が不適切 (CWE-59) - CVE-2022-40143
本脆弱性の深刻度 □ 注意 □ 警告 ■ 重要 □ 緊急
本脆弱性のCVSS v3基本値 7.3
本脆弱性の深刻度 □ I(注意) ■ II(警告) □ III(危険)
本脆弱性のCVSS v2基本値 6.6
不適切な認証 (CWE-287) - CVE-2022-40144
本脆弱性の深刻度 □ 注意 □ 警告 ■ 重要 □ 緊急
本脆弱性のCVSS v3基本値 8.2
本脆弱性の深刻度 □ I(注意) ■ II(警告) □ III(危険)
本脆弱性のCVSS v2基本値 6.4

対象

次の製品が対象です。

  • Trend Micro Apex One 2019
  • Trend Micro Apex One SaaS

対策

パッチを適用する

    開発者が提供する情報をもとにパッチを適用してください。
    開発者は本脆弱性の対策として次のパッチをリリースしています。

  • Trend Micro Apex One 2019 Service Pack 1 b11092

詳しくは、開発者が提供する下記サイトの情報をご確認ください。


ワークアラウンドを実施する

    次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

  • 当該製品へのアクセスを、信頼できるネットワークからのみに制限する

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター

E-mail:

※個別製品の脆弱性情報の詳細につきましては、製品開発者にお問い合わせください。

更新履歴

2022年9月13日 掲載