Trend Micro đã phát hành các bản cập nhật bảo mật để khắc phục nhiều lỗ hổng an ninh mạng ảnh hưởng đến các phiên bản Apex Central cài đặt tại chỗ dành cho Windows, bao gồm một lỗi nghiêm trọng có thể dẫn đến thực thi mã tùy ý.
Lỗ hổng, được theo dõi là CVE-2025-69258, có điểm CVSS là 9.8 trên thang điểm tối đa 10.0. Lỗ hổng này được mô tả là một trường hợp thực thi mã từ xa (remote code execution) ảnh hưởng đến LoadLibraryEX.
"Một lỗ hổng LoadLibraryEX trong Trend Micro Apex Central có thể cho phép kẻ tấn công từ xa không xác thực tải một DLL do kẻ tấn công kiểm soát vào một tệp thực thi chính, dẫn đến việc thực thi mã do kẻ tấn công cung cấp trong ngữ cảnh SYSTEM trên các cài đặt bị ảnh hưởng," công ty an ninh mạng cho biết.
Trend Micro cũng đã vá hai lỗ hổng khác:
- CVE-2025-69259 (CVSS score: 7.5) - Lỗ hổng giá trị trả về NULL không được kiểm tra của thông báo trong Trend Micro Apex Central có thể cho phép kẻ tấn công từ xa, không xác thực tạo ra tình trạng từ chối dịch vụ (denial-of-service) trên các cài đặt bị ảnh hưởng.
- CVE-2025-69260 (CVSS score: 7.5) - Lỗ hổng đọc ngoài giới hạn của thông báo trong Trend Micro Apex Central có thể cho phép kẻ tấn công từ xa, không xác thực tạo ra tình trạng từ chối dịch vụ (denial-of-service) trên các cài đặt bị ảnh hưởng.
Tenable, đơn vị đã được ghi nhận vì phát hiện và báo cáo cả ba lỗ hổng vào tháng 8 năm 2025, cho biết kẻ tấn công có thể khai thác CVE-2025-69258 bằng cách gửi một thông báo "0x0a8d" ("SC_INSTALL_HANDLER_REQUEST") tới thành phần MsgReceiver.exe, khiến một DLL do chúng kiểm soát được tải vào tệp nhị phân, dẫn đến thực thi mã với các đặc quyền nâng cao.
Tương tự, CVE-2025-69259 và CVE-2025-69260 cũng có thể được kích hoạt bằng cách gửi một thông báo được tạo đặc biệt "0x1b5b" ("SC_CMD_CGI_LOG_REQUEST") tới tiến trình MsgReceiver.exe, vốn đang lắng nghe trên cổng TCP mặc định 20001.
Các vấn đề này ảnh hưởng đến các phiên bản Apex Central cài đặt tại chỗ dưới Build 7190. Trend Micro lưu ý rằng việc khai thác thành công phụ thuộc vào việc kẻ tấn công đã có quyền truy cập vật lý hoặc từ xa vào một điểm cuối (endpoint) dễ bị tổn thương.
"Ngoài việc áp dụng kịp thời các bản vá lỗi và giải pháp cập nhật, khách hàng cũng được khuyến nghị xem xét quyền truy cập từ xa vào các hệ thống quan trọng và đảm bảo các chính sách cũng như an ninh vành đai (perimeter security) được cập nhật," công ty nói thêm.
