Die Trend Micro Apex One (on-premise) Management Console ist eine zentralisierte Plattform, die von Unternehmen zur Verwaltung von Endpunktsicherheitsrichtlinien, Updates und zur Überwachung eingesetzt wird.
CVE-2025-54948 ist eine Schwachstelle für nicht authentifizierte Remote-Befehlsinjektionen in der Apex One Management Console. Ein netzwerkbasierter Angreifer kann durch das Senden speziell präparierter Anfragen ohne Authentifizierung beliebige Betriebssystembefehle ausführen.
Die Schwachstelle betrifft Apex One Management Server Version 14039 und früher (on-premise) und wird aktiv in realen Umgebungen ausgenutzt.

Datum	13.08.2025 10:31:03
Informationen	Aktive Ausnutzung

Technische Zusammenfassung

Die Schwachstelle wird durch eine unzureichende Validierung der vom Benutzer bereitgestellten Eingaben in einer webseitig exponierten Komponente der Apex One Management Console verursacht.
Durch das Erstellen einer bösartigen HTTP-Anfrage kann ein nicht authentifizierter Angreifer Systembefehle injizieren, die der Server mit den Berechtigungen des Webanwendungsprozesses ausführt, was potenziell zur vollständigen Kompromittierung des Management-Servers führen kann.

Diese Schwachstelle kann aus der Ferne über das Netzwerk ausgenutzt werden, ohne dass eine Authentifizierung oder Benutzerinteraktion erforderlich ist.

Da die Apex One Management Console normalerweise mit zahlreichen verwalteten Endpunkten verbunden ist, kann ein erfolgreicher Angriff Angreifern einen Einstiegspunkt bieten, um bösartige Payloads bereitzustellen oder Sicherheitsrichtlinien auf Geräten im gesamten Unternehmen neu zu konfigurieren.
CVE-2025-54948 steht in engem Zusammenhang mit CVE-2025-54987, welche dieselbe Schwachstelle auf einer anderen CPU-Architektur betrifft.

Empfehlungen

1. Temporäre Abhilfemaßnahmen anwenden: Implementieren Sie umgehend das von Trend Micro in deren Sicherheitshinweis bereitgestellte Mitigation-Tool.
2. Vollständiges Update planen: Aktualisieren Sie auf die korrigierte Version, sobald diese verfügbar ist (geplant für Mitte August 2025).
3. Netzwerkzugriff einschränken: Beschränken Sie den Zugriff auf die Schnittstelle der Apex One Management Console auf vertrauenswürdige Netzwerke oder VPN-Verbindungen.
4. Logs überwachen: Überprüfen Sie Server- und Web-Logs auf verdächtige Anfragen, die auf Ausnutzungsversuche hindeuten könnten.
5. Isolieren und untersuchen: Falls ein Ausnutzungsversuch vermutet wird, isolieren Sie den betroffenen Server und führen Sie eine forensische Analyse durch, bevor Sie ihn wieder in Betrieb nehmen.

[Callforaction-THREAT-Footer]