米当局、「Trend Micro Apex One」に対する脆弱性攻撃に注意喚起

エンドポイント向けセキュリティ対策製品「Trend Micro Apex One」にゼロデイ脆弱性が明らかとなったことを受け、米当局は注意喚起を行った。

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は現地時間2025年8月18日、「悪用が確認された脆弱性カタログ（KEV）」に脆弱性「CVE-2025-54948」を追加した。

米国内の行政機関に対し、指定期間内に同脆弱性への対策を講じるよう求めるとともに、広く注意を呼びかけている。

同脆弱性は、管理コンソールに判明した「OSコマンドインジェクション」。認証を必要とすることなく、任意のコマンドを実行することが可能となる。

脆弱性の判明を受けてトレンドマイクロでは2025年8月6日にセキュリティアドバイザリを公開。「CVE-2025-54948」にくわえて「CVE-2025-54987」の脆弱性2件を明らかにし、緩和策を提供していた。同月18日にはアドバイザリを更新。脆弱性に対処したアップデートの提供を開始している。

「CVSSv3.0」のベーススコアは「9.4」、重要度は4段階中もっとも高い「クリティカル（Critical）」とレーティングされている。アドバイザリのリリース当初より悪用されていることが判明しており、JPCERTコーディネーションセンターなどからも注意喚起が行われていた。

（Security NEXT - 2025/08/19 ）ツイート