Lỗ hổng RCE CRITICAL CVE-2025-69258 trong Trend Micro Apex Central

1. Tổng quan

Trend Micro đã phát hành bản vá bảo mật khẩn cấp (Critical Patch) vào 07/01/2026 để khắc phục nhiều lỗ hổng nghiêm trọng ảnh hưởng đến Trend Micro Apex Central (on-premise) trên nền tảng Windows.
Trong đó, CVE-2025-69258 là lỗ hổng Remote Code Execution (RCE) có mức độ CRITICAL (CVSS 9.8), có thể cho phép kẻ tấn công chiếm toàn quyền kiểm soát máy chủ quản trị bảo mật.

Thông tin nhanh:

• Ngày phát hành bản vá: 07/01/2026
• Sản phẩm: Trend Micro Apex Central (on-premise)
• Phiên bản chịu ảnh hưởng: tất cả phiên bản dưới Build 7190
• Nền tảng: Windows
• Mức độ: HIGH – CRITICAL

2. Chi tiết lỗ hổng

CVE-2025-69258 — Remote Code Execution (RCE)

• CVSS v3.1: 9.8 (CRITICAL)
• Kiểu lỗ hổng: LoadLibraryEX
• Mô tả: Kẻ tấn công không cần xác thực có thể gửi thông điệp độc hại đến tiến trình MsgReceiver.exe, khiến hệ thống tải một DLL do attacker kiểm soát.
• Hậu quả: Thực thi mã tùy ý với quyền SYSTEM, toàn quyền kiểm soát máy chủ Apex Central.
• Cổng mạng liên quan: TCP 20001

CVE-2025-69259 — Denial of Service (DoS)

• CVSS v3.1: 7.5 (HIGH)
• Nguyên nhân: Unchecked NULL return value
• Hậu quả: Kẻ tấn công từ xa có thể gây tê liệt dịch vụ (DoS).
• Xác thực: Không yêu cầu

CVE-2025-69260 — Denial of Service (DoS)

• CVSS v3.1: 7.5 (HIGH)
• Nguyên nhân: Out-of-bounds read
• Hậu quả: Gây treo hoặc gián đoạn dịch vụ.
• Xác thực: Không yêu cầu

3. Thông tin khai thác

- Các lỗ hổng được Tenable phát hiện và báo cáo.
- Khai thác có thể thực hiện bằng việc gửi các thông điệp đặc biệt:
- • 0x0a8d (SC_INSTALL_HANDLER_REQUEST) → RCE
- • 0x1b5b (SC_CMD_CGI_LOG_REQUEST) → DoS
- Mặc dù Trend Micro lưu ý việc khai thác thường yêu cầu quyền truy cập mạng/endpoint, mức độ rủi ro vẫn rất cao cho môi trường doanh nghiệp dùng Apex Central để quản trị tập trung.

4. Khuyến nghị & biện pháp giảm thiểu

a. Vá & cập nhật ngay

- Nâng cấp lên Critical Patch — Build 7190 hoặc bản mới hơn ngay khi có thể.
- Link tải bản vá (Trend Micro): https://downloadcenter.trendmicro.com/index.php?regs=nabu&prodid=1746
(Kiểm tra checksum và hướng dẫn triển khai trước khi áp dụng trên production.)

b. Gia cố hệ thống

• Kiểm soát nghiêm ngặt truy cập từ xa (VPN, RDP, giao diện quản trị).
• Rà soát cấu hình Firewall / IDS / IPS; chặn/giới hạn lưu lượng đến TCP 20001 nếu không cần thiết.
• Áp dụng network segmentation để cô lập máy chủ quản trị bảo mật.

c.Giám sát & rà soát hậu khai thác

• Theo dõi log truy cập đến TCP 20001 và cảnh báo bất thường.
• Kiểm tra IOC, đặc biệt: DLL lạ, hành vi bất thường của MsgReceiver.exe, các tiến trình mới bất thường.
• Báo cáo ngay cho SOC nếu phát hiện dấu hiệu xâm nhập.

5. Kết luận

CVE-2025-69258 là lỗ hổng cực kỳ nghiêm trọng (RCE, quyền SYSTEM). Các tổ chức sử dụng Trend Micro Apex Central (on-premise) cần khẩn trương vá và triển khai các biện pháp phòng thủ bổ sung để giảm rủi ro xâm nhập và mất kiểm soát hệ thống quản trị bảo mật.

Tài liệu tham khảo:

The Hacker News — Phân tích lỗ hổng Remote Code Execution trong Trend Micro Apex Central (01/2026)
Tenable Research Advisory (TRA-2026-01) — Báo cáo kỹ thuật về các lỗ hổng bảo mật ảnh hưởng đến Trend Micro Apex Central
Trend Micro Security Advisory — Thông báo chính thức và hướng dẫn vá lỗ hổng Apex Central (Build 7190)

🛡️ Bảo vệ hệ thống với Giải pháp và Dịch vụ bảo mật của HPT

HPT luôn đồng hành cùng doanh nghiệp trong việc nâng cao năng lực phòng thủ và ứng cứu sự cố an ninh mạng.

Tìm hiểu thêm các giải pháp tại: Giải pháp và Dịch vụ bảo mật

📞 Liên hệ ngay