Trend Micro ha publicado actualizaciones de seguridad para corregir múltiples vulnerabilidades críticas en sus productos Endpoint Encryption PolicyServer y Apex Central, las cuales permiten ejecución remota de código (RCE) y bypass de autenticación sin credenciales. Aunque hasta la fecha no se ha observado explotación activa, se recomienda la actualización inmediata debido a la gravedad de los fallos.
Vulnerabilidades en Trend Micro Endpoint Encryption PolicyServer
- CVE-2025-49212 – Crítica (CVSS 9.8): RCE pre-autenticación en la clase
PolicyValueTableSerializationBinder, causada por deserialización insegura. Permite a atacantes ejecutar código como SYSTEM sin autenticación. - CVE-2025-49213 – Crítica (CVSS 9.8): RCE pre-autenticación en la clase
PolicyServerWindowsService, también por deserialización de datos no confiables. - CVE-2025-49216 – Crítica (CVSS 9.8): Bypass de autenticación en el servicio
DbAppDomain, que permite eludir completamente el inicio de sesión y ejecutar acciones administrativas sin credenciales. - CVE-2025-49217 – Alta (CVSS 8.8): RCE pre-autenticación en el método
ValidateToken, también por deserialización insegura. Es ligeramente más compleja de explotar, pero permite ejecución de código como SYSTEM.
Además, la versión actualizada corrige cuatro vulnerabilidades adicionales de severidad alta, entre ellas problemas de inyección SQL y escalamiento de privilegios.
Vulnerabilidades en Trend Micro Apex Central
Apex Central, consola de gestión centralizada para productos Trend Micro, también presenta fallas críticas:
- CVE-2025-49219 – Crítica (CVSS 9.8): RCE en el método GetReportDetailView por deserialización insegura. Permite ejecución remota como NETWORK SERVICE.
- CVE-2025-49220 – Crítica (CVSS 9.8): RCE en ConvertFromJson, debido a una validación incorrecta de entradas JSON que permite ejecución remota de código.
Estas fallas fueron corregidas mediante el Patch B7007 para Apex Central 2019 (on premise). En el caso de Apex Central como servicio, los parches se aplicaron automáticamente en la infraestructura backend de Trend Micro.
Productos y versiones afectadas
- Trend Micro Endpoint Encryption PolicyServer: Todas las versiones hasta la última anterior a la 6.0.0.4013 (Patch 1 Update 6).
- No existen mitigaciones ni soluciones alternativas, por lo que es obligatoria la actualización para eliminar los vectores de ataque
Solución
Trend Micro recomienda instalar las siguientes versiones actualizadas:
- Endpoint Encryption PolicyServer: Versión 6.0.0.4013 (Patch 1 Update 6)
- Apex Central: Instalar Patch B7007 (para entornos on-premise)
- Apex Central como Servicio: No se requiere acción por parte del cliente. Las actualizaciones fueron aplicadas automáticamente por Trend Micro en el backend.
Recomendaciones
- Aplicar de inmediato los parches de seguridad provistos por Trend Micro en todos los sistemas afectados.
- Verificar que no existan instancias expuestas sin actualizar, especialmente aquellas con acceso desde internet.
- Revisar logs de seguridad para detectar posibles accesos o comportamientos anómalos anteriores a la actualización.
- Implementar mecanismos de detección y alerta que identifiquen patrones asociados a explotación de deserialización insegura y bypass de autenticación.
Referencias