Aller au contenu
Kreomnis.Vigie
CVE-2026-34926Moyenne6.7 KEV

Trend Micro Apex One : un directory traversal qui transforme l'EDR en vecteur de diffusion

Publiée le 14/06/2026// Kreomnis
CVSS 3.1
6.7
EPSS : probabilité d'exploitation
-
Source : FIRST.org, modèle EPSS v3
Produits/versions affectés
  • Trend Micro Apex One (On-Premise), serveur
CISA KEV : exploitation observée

Cette vulnérabilité est inscrite au catalogue des vulnérabilités activement exploitées de la CISA. Traitement prioritaire recommandé.

Le contexte

CVE-2026-34926 est une traversée de répertoire (directory traversal, CWE-23) sur le serveur Apex One On-Premise de Trend Micro : le plan de contrôle de la protection des endpoints. CVSS v3.1 6.7 (MEDIUM). Le score est modéré, mais l'exposition est tout sauf anodine : Trend Micro a observé au moins une tentative d'exploitation active dans la nature (zero-day), et CISA a ajouté la faille au catalogue KEV le jour même de la divulgation (échéance fédérale au 4 juin 2026), aux côtés d'une faille Langflow.

C'est précisément le genre de CVE qu'on aurait tort de déprioriser sur le seul critère CVSS : un serveur de gestion EDR compromis devient un canal de distribution de malware vers tout le parc.

La mécanique

En exploitant la traversée de répertoire, un attaquant peut modifier une table de clés sur le serveur Apex One afin d'y injecter du code malveillant, qui est ensuite déployé vers les agents des installations concernées via le mécanisme de mise à jour de confiance.

Autrement dit, la chaîne détourne la relation de confiance serveur → agents : ce qui devait diffuser des protections diffuse une charge utile. L'avis éditeur situe l'abus côté serveur (acteur disposant d'un accès au serveur de gestion), mais l'inscription au KEV et l'exploitation observée en font un risque concret, pas théorique.

Versions impactées

| Produit | Statut | | --- | --- | | Apex One (On-Premise), serveur | Vulnérable avant le correctif du bulletin de mai 2026 | | Apex One as a Service | Mis à jour par l'éditeur |

Se reporter au bulletin Trend Micro / Broadcom pour la build corrigée exacte correspondant à votre déploiement.

Remédiation

  1. Appliquer le correctif serveur Apex One On-Premise référencé dans le bulletin (KEV, échéance 4 juin).
  2. Restreindre l'accès au serveur de gestion : il ne doit jamais être joignable depuis des zones non fiables ; segmenter et filtrer.
  3. Vérifier l'intégrité des paquets de mise à jour poussés vers les agents depuis la fenêtre d'exposition.

Chasse à la compromission

  • Modifications inattendues de la table de clés ou des paquets de déploiement côté serveur Apex One.
  • Distribution d'un binaire non sollicité vers les agents (corréler avec la télémétrie HarfangLab / EDR du parc).
  • Accès anormaux au serveur de gestion et écritures hors des chemins attendus (signature directory traversal).

Ce qu'il faut retenir

CVSS 6.7, mais au KEV dès le premier jour. Quand la cible est le serveur qui pilote l'EDR de tout le parc, le score d'impact unitaire ne raconte qu'une partie de l'histoire.

Pour les RSSI :

  • Patchez le serveur Apex One On-Premise et traitez-le comme un actif critique (segmentation, accès restreint, surveillance).

  • Ne priorisez pas au seul CVSS : croisez avec KEV et exposition réelle. Un outil de sécurité compromis devient une arme de distribution.

  • Vérifiez ce qui a été poussé aux agents pendant la fenêtre d'exposition.

  • Kreomnis

Références

#trend-micro#apex-one#directory-traversal#edr#kev