Vulnerabilidades Críticas en Trend Micro Apex One

El 5 de agosto de 2025, Trend Micro informó sobre la explotación activa de dos vulnerabilidades críticas en la consola de administración local (on-premise) de Apex One.  

 

Apex One es una plataforma de seguridad para endpoints que combina tecnologías avanzadas de detección de amenazas, parcheo virtual proactivo mediante la iniciativa Zero Day y protección contra ataques sofisticados, incluyendo amenazas sin archivos. Ofrece potentes capacidades de EDR, integradas con servicios MDR para monitoreo y respuesta gestionada, todo desde un único agente que simplifica la implementación y elimina la necesidad de múltiples herramientas. 

 

Ambas vulnerabilidades calificadas con un CVSS de 9.4 e identificadas como CVE-2025-54948 y CVE-2025-54987 corresponden a fallos de ejecución remota de código y de inyección de comandos en la consola de administración local (on-premise) de Apex One, la única diferencia entre ellas es que afectan a distintas arquitecturas de CPU. 

 

Las vulnerabilidades pueden ser explotadas sin necesidad de autenticación previa y se originan en la falta de validación correcta de la entrada proporcionada por el usuario antes de ejecutarla mediante una llamada al sistema de la consola de Apex One, la cual, por defecto, escucha en los puertos TCP 8080 y 4343, permitiendo así ejecutar código malicioso con los privilegios del usuario IUSR.  

 

Es vital aislar y limitar el acceso a la consola de administración on-premise de Apex One, evitando exponerla a internet. 

 

De momento, Trend Micro ha publicado una herramienta de mitigación como solución a corto plazo y se espera que lance un parche formal para Apex One a mediados de agosto de 2025. Esta herramienta de mitigación desactivará la capacidad de los administradores para utilizar la función Remote Install Agent para implementar agentes y mostrará un error esperado como se ilustra en la imagen posterior.  

 

 

[1] Error esperado al usar la función Remote Install Agent 

Versiones Afectadas

 

Versiones afectadas	Versiones parcheadas
Trend Micro Apex One (on-prem) 2019	FixTool_Aug2025
Trend Micro Apex One (on-prem) Management Server Version 14039 y anteriores.	FixTool_Aug2025

 

Recomendaciones

• Es vital aislar y limitar el acceso a la consola de administración on-premise de Apex One, evitando exponerla a internet. 

• Si cuenta con alguna versión Trend Micro Apex One (on-prem) de las siguientes: 
  • Actualice Trend Micro Apex One (on-prem) 2019 con la herramienta de mitigación FixTool_Aug2025. 
  • Actualice Trend Micro Apex One (on-prem) Management Server versión 14039 y anteriores con la herramienta de mitigación FixTool_Aug2025. 

• Además de la aplicación de parches y soluciones actualizadas, también se recomienda a que revisar el acceso remoto a los sistemas críticos y asegurarse de que las políticas y la seguridad perimetral estén actualizadas. 

• Usuarios que tienen la dirección IP de su consola expuesta externamente deben considerar factores atenuantes como las restricciones de origen si aún no se han aplicado. 

• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque 

• Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

• Revisar logs para ejecución de software de acceso remoto. (NIST CSF, 2024) 

• Limitar estrictamente el uso de los protocolos SMB y RDP. 

• Realizar auditorías de seguridad. (NIST CSF, 2024) 

• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

• Tener filtros de correo electrónico y spam. 

• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

• Realizar copias de seguridad, respaldos o back-ups constantemente. 

• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

• Revisar continuamente los privilegios de los usuarios. 

• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

• Habilitar la autenticación multifactor. 

Referencias

1. Trend Micro. (2025, Agosto 6). ITW CRITICAL SECURITY BULLETIN: Trend Micro Apex One™ (On-Premise) Management Console Command Injection RCE Vulnerabilities.  Recuperado el 6 de Agosto de 2025, en: https://success.trendmicro.com/en-US/solution/KA-0020652  
2. Trend Micro. (2025, Agosto 5). Trend Micro Apex One Console Command Injection Remote Code Execution Vulnerability.  Recuperado el 6 de Agosto de 2025, en: https://www.zerodayinitiative.com/advisories/ZDI-25-771/  
3. Lakshmanan, R. (2025, Agosto 6). Trend Micro Confirms Active Exploitation of Critical Apex One Flaws in On-Premise Systems. Recuperado el 6 de Agosto de 2025, en: https://thehackernews.com/2025/08/trend-micro-confirms-active.html  
4. Coker, J. (2025, Agosto 6). Attackers Are Targeting Critical Apex One Vulnerabilities, Trend Micro Warns. Recuperado el 6 de Agosto de 2025, en: https://www.infosecurity-magazine.com/news/attackers-critical-apex-one/  
5. Gatlan, S. (2025, Agosto 6). Trend Micro warns of Apex One zero-day exploited in attacks. Recuperado el 6 de Agosto de 2025, en: https://www.bleepingcomputer.com/news/security/trend-micro-warns-of-endpoint-protection-zero-day-exploited-in-attacks/   

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios