English
情報セキュリティ
「Trend Micro Apex One」および「Trend Micro Apex One SaaS」における複数の脆弱性について(JVN#36454862)
最終更新日:2022年9月13日
※最新情報は、JVN iPedia(JVN#36454862)をご覧ください。
概要
トレンドマイクロ株式会社が提供する「Trend Micro Apex One」および「Trend Micro Apex One SaaS」は、セキュリティ対策製品です。「Trend Micro Apex One」および「Trend Micro Apex One SaaS」には、次の複数の脆弱性が存在します。
- ロールバック機能のコンポーネントにおける検証不備 (CWE-20) - CVE-2022-40139
- 送信元検証エラー (CWE-284) - CVE-2022-40140
- 情報漏えい (CWE-200) - CVE-2022-40141
- ファイルアクセス時のリンク解釈が不適切 (CWE-59) - CVE-2022-40142
- ファイルアクセス時のリンク解釈が不適切 (CWE-59) - CVE-2022-40143
- 不適切な認証 (CWE-287) - CVE-2022-40144
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 当該製品の管理コンソールにログイン可能な第三者によって、任意のコードを実行される - CVE-2022-40139
- 当該製品がインストールされたシステムにログイン可能な第三者によって、サービス運用妨害 (DoS) 攻撃を受ける - CVE-2022-40140
- 遠隔の第三者が特定の通信を傍受・復号することによって、当該製品のサーバに関する情報の一部を窃取される - CVE-2022-40141
- 当該製品がインストールされたシステムにログイン可能な第三者によって、管理者権限を取得される - CVE-2022-40142, CVE-2022-40143
- 細工されたリクエストを送信されることによって、ログイン時の認証を回避される - CVE-2022-40144
この内 CVE-2022-40139 の脆弱性について、開発者によれば、本脆弱性を悪用した攻撃が確認されているため、できるだけ早急に、製品開発者が提供する情報をもとに、パッチを適用してください。
本脆弱性の深刻度
脆弱性の深刻度は共通脆弱性評価システムCVSS v3とCVSS v2に基づいて定めている。
- CVSS v3に基づいた深刻度と基本値について
- CVSS v2に基づいた深刻度と基本値について
- 脆弱性のCVSS v2深刻度
- 脆弱性のCVSS v2基本値
ロールバック機能のコンポーネントにおける検証不備 (CWE-20) - CVE-2022-40139
- 本脆弱性のCVSS v3深刻度
-
重要
- 本脆弱性のCVSS v3基本値
-
7.2
- 本脆弱性のCVSS v2深刻度
-
II(警告)
- 本脆弱性のCVSS v2基本値
-
6.5
送信元検証エラー (CWE-284) - CVE-2022-40140
- 本脆弱性のCVSS v3深刻度
-
警告
- 本脆弱性のCVSS v3基本値
-
5.5
- 本脆弱性のCVSS v2深刻度
-
II(警告)
- 本脆弱性のCVSS v2基本値
-
4.6
情報漏えい (CWE-200) - CVE-2022-40141
- 本脆弱性のCVSS v3深刻度
-
警告
- 本脆弱性のCVSS v3基本値
-
5.6
- 本脆弱性のCVSS v2深刻度
-
II(警告)
- 本脆弱性のCVSS v2基本値
-
5.1
ファイルアクセス時のリンク解釈が不適切 (CWE-59) - CVE-2022-40142
- 本脆弱性のCVSS v3深刻度
-
重要
- 本脆弱性のCVSS v3基本値
-
7.8
- 本脆弱性のCVSS v2深刻度
-
II(警告)
- 本脆弱性のCVSS v2基本値
-
6.8
ファイルアクセス時のリンク解釈が不適切 (CWE-59) - CVE-2022-40143
- 本脆弱性のCVSS v3深刻度
-
重要
- 本脆弱性のCVSS v3基本値
-
7.3
- 本脆弱性のCVSS v2深刻度
-
II(警告)
- 本脆弱性のCVSS v2基本値
-
6.6
不適切な認証 (CWE-287) - CVE-2022-40144
- 本脆弱性のCVSS v3深刻度
-
重要
- 本脆弱性のCVSS v3基本値
-
8.2
- 本脆弱性のCVSS v2深刻度
-
II(警告)
- 本脆弱性のCVSS v2基本値
-
6.4
対象
次の製品が対象です。
- Trend Micro Apex One 2019
- Trend Micro Apex One SaaS
対策
パッチを適用する
開発者が提供する情報をもとにパッチを適用してください。
開発者は本脆弱性の対策として次のパッチをリリースしています。
- Trend Micro Apex One 2019 Service Pack 1 b11092
詳しくは、開発者が提供する下記サイトの情報をご確認ください。
ワークアラウンドを実施する
次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
- 当該製品へのアクセスを、信頼できるネットワークからのみに制限する
参考情報
- Trend Micro Apex OneおよびTrend Micro Apex One SaaSの脆弱性に関する注意喚起
- アラート/アドバイザリ:Trend Micro Apex One 及びTrend Micro Apex One SaaSで確認した複数の脆弱性について(2022年9月)
- 【注意喚起】Trend Micro Apex One / Trend Micro Apex One SaaS の複数の脆弱性および脆弱性を悪用した攻撃(CVE-2022-40139)を確認したことによる修正プログラム適用のお願いについて(2022年9月)
- 「情報セキュリティ早期警戒パートナーシップ」について
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。詳細は、下記の URL を参照ください
お問い合わせ先
IPA セキュリティセンター
-
E-mail
※個別製品の脆弱性情報の詳細につきましては、製品開発者にお問い合わせください。
更新履歴
-
2022年9月13日
掲載