Bezpečnostní nástroj Trend Micro šířil malware sám od sebe. Záplata je dostupná

Trend Micro vydal 21. května 2026 kritickou záplatu pro závažnou bezpečnostní chybu ve své platformě Apex One. Chyba, označená jako CVE-2026-34926 (identifikátor pro sledování bezpečnostních zranitelností), umožnila útočníkům zneužít samotný bezpečnostní nástroj jako prostředek k šíření škodlivého softwaru po celé firemní síti.

Proč je to mimořádně nebezpečné

Apex One je centrální platforma, která spravuje ochranu všech počítačů ve firmě (tzv. endpointů) z jednoho místa. Právě tento mechanismus se stal zbraní útočníků.

Útočník, který získal administrátorský přístup k serveru Apex One, mohl upravit jeho konfiguraci a vložit do ní škodlivý kód. Apex One pak tento kód rozeslal prostřednictvím svého vlastního systému důvěryhodných aktualizací na všechny spravované počítače v síti. Jinými slovy: platforma určená k ochraně se stala nástrojem pro šíření malwaru.

Chyba je klasifikována jako “directory path traversal” (technika, při které útočník přistupuje k souborům nebo nastavením, ke kterým by neměl mít přístup). Hodnocení závažnosti CVSS je 6.7, což odpovídá střední závažnosti. Přestože zranitelnost vyžaduje administrátorský přístup k serveru, její reálný dopad výrazně přesahuje toto hodnocení. Trend Micro potvrdil, že zranitelnost byla aktivně zneužívána v reálných útocích.

Co bylo vydáno a koho se to týká

Záplata byla vydána v podobě SP1 Critical Patch Build 18012 s výchozím buildem 17079. Postiženy jsou všechny verze Apex One s agentem starším než build 17079.

CISA (americká vládní agentura pro kybernetickou bezpečnost) zařadila tuto zranitelnost do svého katalogu aktivně zneužívaných chyb a stanovila deadline pro federální agentury na 4. června 2026. Incident má přímý dopad i na organizace v České republice a EU, které Apex One využívají jako centrální správu endpoint security.

Proč to zajímá i vás

Útočná technika, kdy se kompromituje centrální správcovský server a škodlivý kód se šíří přes vlastní aktualizační mechanismus, je typická pro pokročilé cílené útoky (tzv. APT, Advanced Persistent Threat). Kompromitace jednoho serveru eliminuje potřebu individuálního napadení každého počítače zvlášť.

Organizace, které zaznamenávají změny konfigurace Apex One serveru v logách, mají výhodu: mohou zpětně ověřit, zda nedošlo k neoprávněné úpravě konfigurační tabulky ještě před vydáním záplaty.

Doporučené kroky

• Okamžitě aplikujte záplatu SP1 Critical Patch Build 18012 na všechny on-premises instance Apex One s agentem starším než build 17079.
• Zkontrolujte logy přístupu k Apex One serveru za období od 1. května 2026 se zaměřením na neočekávané změny konfigurace nebo úpravy tabulek serveru.
• Auditujte seznam administrátorských účtů Apex One a ověřte, zda nedošlo k jejich kompromitaci nebo neoprávněnému přidání nových účtů.
• Implementujte síťové monitorování distribuce aktualizací z Apex One serveru pro detekci anomálních nebo neočekávaných push operací.
• Zvažte vícefaktorovou autentizaci (přihlášení ve dvou krocích) pro přístup ke konzolím bezpečnostních platforem a systémům centrální správy.

Co z toho plyne

Tento incident ilustruje systémové riziko bezpečnostních platforem jako potenciálního vektoru útoku. Centrální správa je silná stránka enterprise bezpečnosti; právě proto je pro útočníky atraktivním cílem. Organizace používající Apex One by měly záplatu nasadit co nejdříve a zpětně prověřit logy za uplynulé týdny.

Zdroje:

• BleepingComputer
• SecurityWeek